Ausgeklügelter Cross-Platform-Krypto-Miner bringt eigene Linux-VM mit

Analysten haben einen Krypto-Miner entdeckt, der seine eigene virtuelle Behausung mitbringt. Er kann sowohl Windows- als auch macOS-Systeme infizieren.

In Pocket speichern vorlesen Druckansicht 71 Kommentare lesen
Anspruchsvoller Cross-Platform-Krypto-Miner bringt eigene Linux-VM mit

Wer hier Software heruntergeladen hat, hat sich womöglich ressourcenhungrigen Besuch eingefangen.

Lesezeit: 3 Min.

Auf den Namen "LoudMiner" haben Sicherheitsforscher von ESET einen Krypto-Miner getauft, der sowohl Windows- als auch macOS-Systeme befallen kann – und der sich darüber hinaus durch geschickte Tarnungsstrategien und eine clevere Wahl seiner Angriffsziele auszeichnet.

LoudMiner verwendet zum Schürfen der Kryptowährung Monero das bei GitHub frei verfügbare Mining-Tool XMRig. Bereits in der Vergangenheit schleusten Kriminelle XMRig auf mehrere Millionen (Windows-)Rechner, um deren Rechenkapazität anzuzapfen. Im Gegensatz zu Malware aus früheren Schadcode-Kampagnen ist LoudMiner aber nicht auf eine Downloader-Komponente angewiesen, die zunächst das Betriebssystem und dessen Version ermittelt. Stattdessen bringt er seine eigene Mining-Umgebung in Gestalt einer virtuellen Maschine (VM) mit Tiny Core Linux mit.

Dank der VM-Strategie, die die Analysten von ESET in ihrem Blogeintrag zu LoudMiner als "bemerkenswert" und nicht alltäglich bezeichnen, funktioniert zumindest der Mining-Vorgang selbst plattformunabhängig. Bei den Installationsdateien, in denen der dafür benötigte Code lauert, handelt es sich dagegen um gecrackte Versionen professioneller Musik-Software für Windows beziehungsweise macOS, die mit dem Virtual Studio Technology (VST)-Protokoll arbeitet. Nach Ausführung des Setups installiert LoudMiner die Virtualisierungssoftware, in der die VM läuft (QEMU unter macOS und VirtualBox unter Windows); dann folgt die jeweilige Musik-Software.

Dass die Drahtzieher die sonst oft sehr teure Software als Köder kostenlos auf einer eigens erstellten Webseite anbieten, dürfte potenzielle Oper zum unüberlegten Download verlocken. Als weitere mögliche Gründe für die Wahl dieses Verstecks nennt ESET einerseits die ohnehin schon recht beachtliche Größe der Installationsdateien, angesichts derer die Virtualisierungssoftware nicht auffalle. Und dann sei da noch die Tatsache, dass VST-basierte Software üblicherweise auf sehr leistungsstarker Hardware läuft und diese auch nutzt, so dass ein höherer CPU-Konsum ebenfalls nicht auffalle oder zumindest nicht überrasche.

Die Webseite (vstcrack.xxx), auf der ESET den Schadcode entdeckt hat, ist zur Stunde noch immer online. Insgesamt hat ESET dort 42 Windows- und 95 macOS-Installationsdateien für so beliebte Software wie Kontakt und Reaktor von Native Instruments, Ableton Live, Reason von Propellerhead und Sylenth1 von LennarDigital gezählt. Teilweise wurden die Downloads über 100 Mal kommentiert; wie häufig die Programme insgesamt heruntergeladen wurden, lässt sich daraus aber nicht ableiten.

Ganz am Ende seines Blogeintrags nennt das ESET-Team Dateinamen und SHA-1-Hashes einiger analysierter Dateien, in denen LoudMiner gefunden wurde. Da ESET aber nur einige Dateien analysiert hat, bleibt unklar, in wievielen sich der Mining-Code insgesamt verbirgt – und auch, ob nicht in einigen der übrigen Dateien noch weitere böse Überraschungen lauern. Eventuell Betroffene sollten heruntergeladene Software umgehend deinstallieren und ihre Systeme einem gründlichen Scan unterziehen. (ovw)