Пиратский музыкальный софт — распространённое явление музыкальной индустрии, которое продолжает жить и развиваться. Ежегодно многочисленные релиз-группы распространяют гигабайты варезного софта, но до сегодняшнего дня доверие к ISO-образам и RAR-архивам было высоко. Последний доклад разработчиков антивируса ESET Antivirus гласит, что пираты незаметно использовали компьютеры музыкантов с целью добычи биткоина и других криптовалют через скрытый майнер криптовалют LoudMiner.
Исследователи ESET опубликовали статью «LoudMiner: Cross-platform mining in cracked VST software», в которой рассказали, что проанализировали 137 образов и архивов с плагинами и другими музыкальными программами (42 для Windows, 95 для macOS). Среди образов были свободные версии таких популярных программ и плагинов как Native Instruments Kontakt 5.7, Propellerhead Reason, Ableton Live, LennarDigital Sylenth1, ReFX Nexus и Antares AutoTune, скачанные с крупных торрент-трекеров и варез-блогов. Большая часть архивов и установщиков поставлялась вместе с криптомайнером LoudMiner, который устанавливался в систему вместе с основным программным обеспечением для работы со звуком.
Согласно отчету, создатели криптомайнера LoudMiner пользовались тем, что VST-плагины и DAW сильно нагружают процессор компьютера — майнер максировался под работающие сэмплеры, синтезаторы и эквалайзеры. Пользователи не замечали работу майнера, списывая повышенную нагрузку системы на работу плагинов, хотя на самом деле компьютер использовался для добычи криптовалюты.
Первые сообщения о LoudMiner появились в августе 2018 года, а первой заражённой программой считается образ Native Instruments Kontakt. Постепенно в сети появились сообщения о повышенной активности процессора при работе с музыкальными программами и плагинами, при этом пик пользовательских жалоб пришелся на июнь 2019 года.
По словам исследователей, криптомайнер работает с помощью программ виртуализации QEMU на macOS и VirtualBox на Windows. Во время установки майнер глубоко проникает в систему и через некоторое время начинает добывать криптовалюту Monero. При этом принцип работы LoudMiner довольно хитер: в macOS копируется при установке специальным скриптом и висит в памяти неубиваемым процессом qemu-system-x86_64, в Windows маскируется под необходимость установки драйвера VirtualBox. В зависимости от вариации майнера и скрипта, LoudMiner простаивает в течение некоторого времени, анализируя нагрузку на процессор, после чего запускает добычу валюты. Отключается майнер только в том случае, если нагрузка на процессор превышает 85%.
Среди зараженных образов ESET отмечает следующие образы, пакеты и архивы:
- Virtual_DJ_8_Pro_Infinity_macOS.pkg
- Native Instruments Massive Installer.pkg
- Massive_v1.5.5_Installer_macOS.dmg
- Native_Instruments_Effects_Series_Mod_Pack.dmg
- Spectrasonics_Omnisphere_2.5_OSx.dmg
- Lennar_Digital_Sylenth1_2.2.1.dmg
- Ableton.Live.Suite.10.0.6.Multilingual.x64.WIN.zip
- Infected-Mushroom-Manipulator-V1.0.3.zip
- Sonic_Academy_ANA_2.0.3_x86_x64.msi
- SoundToys_5.0.1_x64-SetupFiles.rar
- Valhalla-DSP-Full-Bundle-setupfiles.zip
Всем пользователям ESET рекомендует проверить систему на вирусы и избегать пиратского программного обеспечения. Ознакомиться с подробностями исследования и выводами ESET можно по этой ссылке.