为AppleMac设计的名为BirdMiner的加密货币挖掘恶意软件的新变种是针对盗版软件的用户。
虽然加密货币挖掘恶意软件(也称为加密劫持软件)并不是什么新鲜事,但这种特殊的恶意代码还带来了一个有趣的特性:恶意软件通过在Mac上模拟Linux来运行。
恶意软件被检测为OSX.BirdMiner,是在AbletonLive10的破解安装程序中发现的,该软件用于音乐制作,Malwarebytes周四在博客文章中说。
根据研究人员的说法,该软件的非法安装程序和破解版本可从名为VST的盗版网站下载
裂纹。考虑到该软件用于高端音乐制作,2.6GB的文件大小可能不会阻止潜在的受害者-但它秘密地包含BirdMiner,它在安装时立即开始工作。
安装程序使用随机名称隐藏应用程序和共享目录中的文件。
虽然安装程序从专用的wordlist脚本生成随机名称,但是避免使用某些短语,特别是我们很多人不希望与之相关的术语,例如“Nazi”和“Hitler”,尽管它们出现在列表中。
删除的文件包括负责启动shell脚本的守护程序,包括Crax,一个扫描ActivityMonitor的系统,Mac的进程检查程序。
如果该软件正在使用,那么恶意软件会尝试“卸载其他进程”,Malwarebytes说,可能是为了避免被发现。
如果活动监视器未激活,则BirdMiner将启动一系列CPU检查。CPU功率是成功挖掘加密货币所必需的,如果CPU使用率超过85%,恶意软件将会纾困。
但是,低于85%的任何东西都会导致运行Pecora和Krugerite的启动守护程序分别加载可执行文件。
其中一个可执行文件名为Nigel,是一个名为Qemu的开源模拟器软件的旧版本。这种命令行形式的虚拟化软件利用Apple的虚拟机管理程序运行基于图像的Linux可执行文件--TinyCore--由另一个名为Poaceae的下载文件托管。
该映像还包含mydata.tgz,这是一个确保在启动时加载某些进程的文件,包括XMRig,一个Monero(XMR)加密货币挖掘器。
由于脚本分别加载这些文件,受害者最终可能会有两名矿工同时工作。
“只要TinyCore系统启动,XMRig即可启动,无需用户登录,”研究人员说。
自从最初的发现以来,已发现其他恶意软件被埋在VSTCrack破解安装程序中的例子。BirdMiner可能已经流通了至少四个月。
隐藏在可引导图像中的矿工有点隐蔽,但研究人员表示,考虑到恶意软件的巨大足迹以及模仿而不是作为本机代码运行的选择,BirdMiner“在脚下射击,隐身。”
“BirdMiner以这种方式创建的事实可能表明作者可能熟悉Linux,但并不是特别精通macOS,”Malwarebytes说。“尽管这种方法确实模糊了矿工本身,这可能有助于恶意软件逃避检测,但这种好处可以通过依赖shell脚本和在仿真中同时运行两个矿工而不是一个矿工的大量足迹来抵消。”
免责声明:本文由用户上传,如有侵权请联系删除!
