متخصصین امنیت سایبری از حداقل دو موسسه مجموعه ای از بدافزار هارا شناسایی کرده اند که سیستم های ویندوزی ومک را با یک بدافزار لینوکسی برای عملیات mining آلوده میکند.

LoudMiner یا  Bird Miner در سیستم های مورد حمله، نرم افزار مجازی سازی مبتنی بر command-line را وارد میکند تا بطور مخفیانه یک image از سیستم عامل Tiny Core Linux که از قبل یک برنامه mining توسط هکر روی آن فعال شده را ،boot کند.

از سال ۲۰۱۸ هکرها این بدافزار را همراه کپی های کرک شده Virtual Studio Technology در سطح اینترنت از طریق شبکه Torrent پخش کرده اند.این موضوع توسط متخصصین امنیت سایبری در ESET و Malwarebytes  شناسایی شده.

برنامه هایVST شامل صداها،افکت ها ،سینتی سایزر ها و قابلیت های پیشرفته ای برای ادیت صدا است که متخصصین حرفه ای صدا و موزیک  ازآن استفاده میکنند.

به گفته ESET از آنجاییکه افراد حرفه ای در زمینه صدا وموسیقی ار سیستم هایی استفاده میکنند که کارایی بالایی داشته واغلب قوی ترین پردازنده های موجود را در این سیستم ها به کار میگیرند این موضوع آنها را هدف بالقوه ای برای این بدافزار به خصوص تبدیل کرده چون هم این سیستم ها  عملکرد بالایی دارند وهم به دلیل ماهیت آنها مصرف بالای CPU در عملیات mining برای کاربر دستگاه غیر عادی نخواهد بود.

 

تا الان نسخه های آلوده ای از در حدود ۱۳۷ برنامه مرتبط با VST شناسایی شده که ۴۲ مورد مربوط به ویندوز و۹۵ مورد مربوط به مک می باشد این برنامه ها شامل Propellerhead Reason ،Ableton live، sylenth 1،Nexus،Reaktor 6 و Auto Tune.

در سیستم عامل mac ،برنامه چند اسکریپت shell را اجرا میکند واز برنامه اپن سورس Quick Emulator برای اجرای سیستم عامل مجازی لینوکس استفاده میکند ودر ویندوز برای emulation از virtualBox استفاده میکند.

بعد از نصب وفعال شدن ،بدافزار با نصب فایل های اضافی واجرای virtual machines در پس زمینه تداوم بیشتری روی سیستم پیدا میکند.

image های سیستم عامل لینوکس که در حمله استفاده میشود از قبل روی آنها برنامه هایی برای عملیات mining تنظیم شده که به محض اجرا فرایند مورد نظر را بدون نیاز به ورود کاربر شروع میکنند.

فایل OVF که در imageلینوکس وجود دارد ترکیب سخت افزاری virtual machine را توضیح میدهد که ۱GB از RAM را استفاده میکند واز ۲ هسته CPU با حداکثر ۹۰ درصد کارایی آن استفاده میکند..

image لینوکس نسخه ۹.۰ از Tiny Core Linux است که برای اجرای XMRig در کنار فایل ها واسکریپت هایی برای بروز ماندن miner تنظیم شده.این بدافزار میتواند دو image را در آن واحد اجرا کند که هرکدام ۱۲۸mb از RAM ویک هسته CPUرا درگیر کند تا بصورت همزمان mining شود.

این حمله نمونه بسیار خوب دیگری از خطرات استفاده از فایل هاو برنامه های  pirate شده و غیر رسمی است.