Криптомайнер LoudMiner маскируется под VST-плагины и программы для записи музыки

Пиратский музыкальный софт — распространённое явление музыкальной индустрии, которое продолжает жить и развиваться. Ежегодно многочисленные релиз-группы распространяют гигабайты варезного софта, но до сегодняшнего дня доверие к ISO-образам и RAR-архивам было высоко. Последний доклад разработчиков антивируса ESET Antivirus гласит, что пираты незаметно использовали компьютеры музыкантов с целью добычи биткоина и других криптовалют через скрытый майнер криптовалют LoudMiner.

Исследователи ESET опубликовали статью «LoudMiner: Cross-platform mining in cracked VST software», в которой рассказали, что проанализировали 137 образов и архивов с плагинами и другими музыкальными программами (42 для Windows, 95 для macOS). Среди образов были свободные версии таких популярных программ и плагинов как Native Instruments Kontakt 5.7, Propellerhead Reason, Ableton Live, LennarDigital Sylenth1, ReFX Nexus и Antares AutoTune, скачанные с крупных торрент-трекеров и варез-блогов. Большая часть архивов и установщиков поставлялась вместе с криптомайнером LoudMiner, который устанавливался в систему вместе с основным программным обеспечением для работы со звуком.

Фото: WeLiveSecurity

Согласно отчету, создатели криптомайнера LoudMiner пользовались тем, что VST-плагины и DAW сильно нагружают процессор компьютера — майнер максировался под работающие сэмплеры, синтезаторы и эквалайзеры. Пользователи не замечали работу майнера, списывая повышенную нагрузку системы на работу плагинов, хотя на самом деле компьютер использовался для добычи криптовалюты.

Первые сообщения о LoudMiner появились в августе 2018 года, а первой заражённой программой считается образ Native Instruments Kontakt. Постепенно в сети появились сообщения о повышенной активности процессора при работе с музыкальными программами и плагинами, при этом пик пользовательских жалоб пришелся на июнь 2019 года.

Фото: WeLiveSecurity

По словам исследователей, криптомайнер работает с помощью программ виртуализации QEMU на macOS и VirtualBox на Windows. Во время установки майнер глубоко проникает в систему и через некоторое время начинает добывать криптовалюту Monero. При этом принцип работы LoudMiner довольно хитер: в macOS копируется при установке специальным скриптом и висит в памяти неубиваемым процессом qemu-system-x86_64, в Windows маскируется под необходимость установки драйвера VirtualBox. В зависимости от вариации майнера и скрипта, LoudMiner простаивает в течение некоторого времени, анализируя нагрузку на процессор, после чего запускает добычу валюты. Отключается майнер только в том случае, если нагрузка на процессор превышает 85%.

Среди зараженных образов ESET отмечает следующие образы, пакеты и архивы:

  • Virtual_DJ_8_Pro_Infinity_macOS.pkg
  • Native Instruments Massive Installer.pkg
  • Massive_v1.5.5_Installer_macOS.dmg
  • Native_Instruments_Effects_Series_Mod_Pack.dmg
  • Spectrasonics_Omnisphere_2.5_OSx.dmg
  • Lennar_Digital_Sylenth1_2.2.1.dmg
  • Ableton.Live.Suite.10.0.6.Multilingual.x64.WIN.zip
  • Infected-Mushroom-Manipulator-V1.0.3.zip
  • Sonic_Academy_ANA_2.0.3_x86_x64.msi
  • SoundToys_5.0.1_x64-SetupFiles.rar
  • Valhalla-DSP-Full-Bundle-setupfiles.zip

Всем пользователям ESET рекомендует проверить систему на вирусы и избегать пиратского программного обеспечения. Ознакомиться с подробностями исследования и выводами ESET можно по этой ссылке.

What's Your Reaction?

Источник: samesound.ru

Понравилась статья? Поделиться с друзьями:
Гараж открыт