Az ESET biztonsági cég nyilvánosságra hozta elemzését a rosszindulatú, többplatformos LoudMiner nevű kriptobányász programról. A LoudMiner a macOS alatt a QEMU-t, Windows-környezetben a VirtualBoxot használja egy Tiny Core Linux virtuális gép futtatására, amely a Monero kriptovalutát bányássza. A rejtve működő programot 137 olyan windowsos és macOS-es audió alkalmazás feltört változatához csomagolták, amelyek támogatják a VST plugineket, és amelyeket egyetlen weboldalon kínálnak, de az ESET szerint valójában 29 külső szerveren helyezkednek el. A 137 program közül 42 windowsos, 95 pedig macOS alapú. A rosszindulatú célra felhasznált alkalmazások között megtalálható a Propellerhead Reason, az Ableton Live, a Sylenth1, a Nexus, a Reaktor 6 és az AutoTune feltört változata.
Az ESET vezető malware kutatója, Marc-Etienne M. Léveillé szerint a hackerek azért választották ezeket az alkalmazásokat a LoudMiner terjesztésére, mert az audióprogramokat futtató számítógépek általában nagyobb teljesítményűek.
- Ráadásul ezek az alkalmalmazások általában komplexek és nagy teljesítményigényúek, így a felhasználók nem találják gyanúsnak a rejtett tevékenységükből eredő nagy terhelést. Viszont az kivételes, hogy virtuális gépet használnak a kiberbűnözők egy egyszerűbb megoldás helyett, ilyennel nem gyakran találkozhatunk, tette hozzá a szakember.
A LoudMiner 2018 augusztusa óta garázdálkodik, és SCP kommunikációt használ önmaga frissítésére. Mind a windowsos, mind a macOS-es változatok hasonlóan működnek: miután a felhasználó letöltötte a feltört alkalmazást, először a LoudMiner telepítődik, majd a VST szoftver.
A kriptobányász modul elrejti magát és újraindításkor perzisztenssé válik, ha pedig frissítés szükséges, kapcsolatba lép a C&C szerverével. Az ESET kutatói három macOS és egy Windows variánsát azonosították. A bányászprogram az XMRig-en alapul és egy bányász poolt használ, ami lehetetlenné teszi a tranzakciók nyomon követését, olvashatjuk a LoudMiner ESET által közzétett elemzési jelentésében.