Menú principal

jueves, 27 de junio de 2019

LoudMiner: el minero que se esconde en imágenes de disco

LoudMiner es un caso usual de minero de criptodivisas, distribuido en macOS y Windows desde agosto del año pasado este miner utiliza softwares de virtualización normalmente en QEMU para macOS o VirtualBox para Windows, minando criptomonedas en una pequeña máquina virtual en base Linux. Está asociado a las copias pirata de software VST  (Virtual Studio Technology) . El miner en sí mismo está basado en XMRig y utiliza un conjunto de herramientas de minería gracias a las que es imposible revertir las diversas transacciones que realiza.

Actualmente existen 137 aplicaciones VST (42 para Windows y 95 para macOS) disponibles en un único dominio de Wordpress registrado en 24 de agosto del año pasado. Por desgracia, el tamaño de las aplicaciones hace que no sea práctico analizarlas todas pero se puede afirmar casi con total seguridad que se encuentran trollanizadas. Las aplicaciones en si no están hospedadas en el sitio de Wordpress, sino que se encuentran en al menos 29 servidores externos a los que se puede acceder desde el apartado IoCs. Los administradores del sitio actualizan las aplicaciones con nuevas versiones haciendo más difícil su seguimiento, de hecho no se ha logrado llegar hasta la primera versión del miner.

Figura 1: Usuario alerta en los comentarios de un proceso que utiliza toda su CPU

Echando un vistazo a la naturaleza de las aplicaciones objetivo, es curioso observar que sus propósitos están relacionados con la producción de audio. Las maquinas en las que se instalan deben de contar con un gran poder de procesamiento y un gran consumo de CPU. Las aplicaciones también suelen ser complejas y de gran tamaño para que los atacantes puedan ocultar en ellas las imágenes de disco de las máquinas virtuales.

La dinámica de este miner a la hora de infectar un equipo es la misma para Windows que para Mac, se utiliza una aplicación firmada con un software de virtualización junto a algunos archivos que garanticen su persistencia, una vez descargada la aplicación se facilitan instrucciones para su instalación. Durante este proceso se instala en primer lugar LoudMiner y después el otro software. Con LoudMiner instalado (y persistente tras el reinicio), al lanzar la máquina virtual comenzará el proceso de minado. Además en la máquina virtual se utilizan scripts haciendo posible que el miner se pueda actualizar.

No hay comentarios:

Publicar un comentario

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch...

Otras historias relacionadas

Entradas populares