criptocurrency mining : come utilizzare l’emulazione per eseguire malware.

Linux è cosi leggero che non lo senti 🙂

I ricercatori di Cybersecurity di almeno due aziende hanno svelato i dettagli di un nuovo ceppo di malware che si rivolge ai sistemi Windows e macOS con un malware di cryptocurrency mining basato su Linux.
Può sembrare strano, ma è vero.
Soprannominato “LoudMiner” o “Bird Miner”, l’attacco sfrutta il software di virtualizzazione a riga di comando su  i sistemi  per avviare silenziosamente un’immagine di Tiny Core Linux OS che contiene già un software di criptocurrency mining attivato .

Non è interessante utilizzare l’emulazione per eseguire malware a piattaforma singola su piattaforme multiple?

miner – cryptocurrency mining



Vi piace il software pirata?

Individuato dai ricercatori di ESET e Malwarebytes, gli aggressori stanno distribuendo questo malware in bundle con copie pirata e incrinate del software VST (Virtual Studio Technology) su Internet e tramite la rete Torrent dall’agosto 2018.

Le applicazioni VST contengono suoni, effetti, sintetizzatori e altre funzioni avanzate di editing che consentono ai professionisti dell’audio tecnologico di creare musica.
“Per quanto riguarda la natura delle applicazioni mirate, è interessante osservare che il loro scopo è legato alla produzione audio; quindi, le macchine su cui sono installate dovrebbero avere una buona potenza di elaborazione e un elevato consumo di CPU non sorprenderà gli utenti”, hanno detto i ricercatori ESET.

I ricercatori hanno trovato varie versioni dannose di quasi 137 applicazioni legate al VST, 42 delle quali sono per Windows e per la piattaforma macOS, tra cui Propellerhead Reason, Ableton Live, Sylenth1, Nexus, Reaktor 6 e AutoTune.



Come funziona il cryptocurrency mining

Per i sistemi macOS, il software esegue più script shell e utilizza l’utility open-source Quick Emulator (QEMU) per lanciare il sistema operativo Linux virtuale, mentre per Windows si affida a VirtualBox per l’emulazione.

Una volta installato e attivato, il malware guadagna anche la persistenza sul sistema installando file aggiuntivi e poi lancia macchine virtuali in background.

Queste immagini dei sistemi operativi Linux sono già state preconfigurate dagli aggressori per lanciare automaticamente all’avvio del software di criptocurrency mining senza che l’utente debba effettuare il login e connettersi ai server di comando e controllo dell’hacker.

I ricercatori ESET affermano:”Il file OVF incluso nell’immagine di Linux descrive la configurazione hardware della macchina virtuale: utilizza 1GB di RAM e 2 core di CPU (con un utilizzo massimo del 90%)”.
“L’immagine di Linux è Tiny Core Linux 9.0 configurato per eseguire XMRig, così come alcuni file e script per mantenere il minatore continuamente aggiornato”.

Il malware “può eseguire due immagini contemporaneamente, ciascuna con 128 MB di RAM e un core di CPU”.
“Inoltre, il fatto che il malware esegue due miner separati, ognuno dei quali esegue il proprio file immagine Qemu da 130 MB, significa che il malware consuma molte più risorse del necessario”, ha detto Malwarebytes.

Questo tipo di attacco è un altro buon motivo per cui non ci si dovrebbe mai fidare di software non ufficiale e pirata disponibile su Internet.

Passate a GNU Linux, non è mai troppo tardi !