Криптомайнер LoudMiner маскируется под VST-плагины и программы для записи музыки

Срочно проверьте компьютер.

LoudMiner маскируется под VST плагины

Пиратский музыкальный софт — распространённое явление музыкальной индустрии, которое продолжает жить и развиваться. Ежегодно многочисленные релиз-группы распространяют гигабайты варезного софта, но до сегодняшнего дня доверие к ISO-образам и RAR-архивам было высоко. Последний доклад разработчиков антивируса ESET Antivirus гласит, что пираты незаметно использовали компьютеры музыкантов с целью добычи биткоина и других криптовалют через скрытый майнер криптовалют LoudMiner.

Исследователи ESET опубликовали статью «LoudMiner: Cross-platform mining in cracked VST software», в которой рассказали, что проанализировали 137 образов и архивов с плагинами и другими музыкальными программами (42 для Windows, 95 для macOS). Среди образов были свободные версии таких популярных программ и плагинов как Native Instruments Kontakt 5.7, Propellerhead Reason, Ableton Live, LennarDigital Sylenth1, ReFX Nexus и Antares AutoTune, скачанные с крупных торрент-трекеров и варез-блогов. Большая часть архивов и установщиков поставлялась вместе с криптомайнером LoudMiner, который устанавливался в систему вместе с основным программным обеспечением для работы со звуком.

Фото: WeLiveSecurity

Согласно отчету, создатели криптомайнера LoudMiner пользовались тем, что VST-плагины и DAW сильно нагружают процессор компьютера — майнер максировался под работающие сэмплеры, синтезаторы и эквалайзеры. Пользователи не замечали работу майнера, списывая повышенную нагрузку системы на работу плагинов, хотя на самом деле компьютер использовался для добычи криптовалюты.

Первые сообщения о LoudMiner появились в августе 2018 года, а первой заражённой программой считается образ Native Instruments Kontakt. Постепенно в сети появились сообщения о повышенной активности процессора при работе с музыкальными программами и плагинами, при этом пик пользовательских жалоб пришелся на июнь 2019 года.

Фото: WeLiveSecurity

По словам исследователей, криптомайнер работает с помощью программ виртуализации QEMU на macOS и VirtualBox на Windows. Во время установки майнер глубоко проникает в систему и через некоторое время начинает добывать криптовалюту Monero. При этом принцип работы LoudMiner довольно хитер: в macOS копируется при установке специальным скриптом и висит в памяти неубиваемым процессом qemu-system-x86_64, в Windows маскируется под необходимость установки драйвера VirtualBox. В зависимости от вариации майнера и скрипта, LoudMiner простаивает в течение некоторого времени, анализируя нагрузку на процессор, после чего запускает добычу валюты. Отключается майнер только в том случае, если нагрузка на процессор превышает 85%.

Среди зараженных образов ESET отмечает следующие образы, пакеты и архивы:

Всем пользователям ESET рекомендует проверить систему на вирусы и избегать пиратского программного обеспечения. Ознакомиться с подробностями исследования и выводами ESET можно по этой ссылке.

Exit mobile version