Pesquisadores descobrem ameaça de mineração de cripto em máquina virtual "incomum"

A empresa de segurança cibernética ESET detectou o que descreve como um minerador incomum e persistente de criptomoedas distribuído para MacOS e Windows desde agosto de 2018. A notícia foi revelada em um relatório da ESET Research publicado em 20 de junho.

De acordo com a ESET, o novo malware, chamado  "LoudMiner", usa software de virtualização - VirtualBox no Windows e QEMU no MacOS - para minerar criptomoedas em uma máquina virtual Linux Tiny Core, tendo o potencial de infectar computadores em vários sistemas operacionais.

A própria mineradora supostamente usa o XMRig - um software de código aberto usado para minerar a altcoin focada em privacidade Monero (XMR) - e um pool de mineração, desse modo supostamente frustrando as tentativas dos pesquisadores de refazer as transações.

A pesquisa revelou que, tanto para MacOS quanto para Windows, o minerador opera em aplicativos pirateados, que são agrupados com software de virtualização, uma imagem do Linux e arquivos adicionais.

Após o download, o LoudMiner é instalado antes do software desejado, mas se oculta e só se torna persistente após a reinicialização.

A ESET observa que o minerador tem como alvo aplicativos cujas finalidades estão relacionadas à produção de áudio, que geralmente é executada em computadores com alto poder de processamento e no qual o alto consumo de CPU - nesse caso causado pela mineração furtiva de cripto - pode não parecer suspeito.

Além disso, os invasores supostamente exploram o fato de que esses aplicativos complexos geralmente são complexos e grandes para ocultar suas imagens de máquinas virtuais. Os pesquisadores acrescentam:

“A decisão de usar máquinas virtuais em vez de uma solução mais enxuta é bastante notável e isso não é algo que vemos todo dia.”

A ESET identificou três linhagens do minerador voltadas para sistemas MacOS e apenas uma para o Windows até o momento.

Como alerta para os usuários, os pesquisadores afirmam que “obviamente, o melhor conselho a ser protegido contra esse tipo de ameaça é não baixar cópias pirateadas de software comercial”.

Entretanto, juntamente com o alto consumo de CPU, eles oferecem várias dicas para ajudar os usuários a detectar algo que pode estar errado, incluindo popups de confiança de um instalador "adicional" inesperado ou um novo serviço adicionado à lista de serviços de inicialização (Windows) ou um novo Launch Daemon (Mac OS).

Conexões de rede a nomes de domínio incomuns - devido a scripts dentro da máquina virtual que contatam o servidor C&C para atualizar a configuração do minerador - são outra oferta, acrescentam os pesquisadores.

Neste domingo, o Cointelegraph publicou um relatório detalhado analisando vários casos de malware dentro da indústria de cripto, incluindo a mineração furtiva de cripto.