LoudMiner: el minero que se esconde en imágenes de disco
Actualmente existen 137 aplicaciones VST (42 para Windows y 95 para macOS) disponibles en un único dominio de WordPress registrado en 24 de agosto del año pasado. Por desgracia, el tamaño de las aplicaciones hace que no sea práctico analizarlas todas pero se puede afirmar casi con total seguridad que se encuentran trollanizadas. Las aplicaciones en si no están hospedadas en el sitio de WordPress, sino que se encuentran en al menos 29 servidores externos a los que se puede acceder desde el apartado IoCs. Los administradores del sitio actualizan las aplicaciones con nuevas versiones haciendo más difícil su seguimiento, de hecho no se ha logrado llegar hasta la primera versión del miner.
Figura 1: Usuario alerta en los comentarios de un proceso que utiliza toda su CPU |
Echando un vistazo a la naturaleza de las aplicaciones objetivo, es curioso observar que sus propósitos están relacionados con la producción de audio. Las maquinas en las que se instalan deben de contar con un gran poder de procesamiento y un gran consumo de CPU. Las aplicaciones también suelen ser complejas y de gran tamaño para que los atacantes puedan ocultar en ellas las imágenes de disco de las máquinas virtuales.
La dinámica de este miner a la hora de infectar un equipo es la misma para Windows que para Mac, se utiliza una aplicación firmada con un software de virtualización junto a algunos archivos que garanticen su persistencia, una vez descargada la aplicación se facilitan instrucciones para su instalación. Durante este proceso se instala en primer lugar LoudMiner y después el otro software. Con LoudMiner instalado (y persistente tras el reinicio), al lanzar la máquina virtual comenzará el proceso de minado. Además en la máquina virtual se utilizan scripts haciendo posible que el miner se pueda actualizar.
Powered by WPeMatico