这种加密挖掘恶意软件在Windows和macOS上启动Linux虚拟机

听起来可能很奇怪，但这是真的。

被称为“劳德明“还有”鸟矿工，“此次攻击利用目标系统上基于命令行的虚拟化软件，以静默方式引导已经包含黑客激活的加密货币挖掘软件的微型核心Linux操作系统的映像。

使用仿真在跨平台上运行单平台恶意软件不是很有趣吗？

VST应用程序包含声音、效果、合成器和其他高级编辑功能，允许以技术为中心的音频专业人士创作音乐。

 

ESET研究人员说：“关于目标应用程序的性质，有趣的是观察到它们的用途与音频制作有关，因此，安装它们的机器应该具有良好的处理能力和高CPU消耗不会让用户感到惊讶”。

研究人员发现了近137个与VST相关的应用程序的各种恶意版本，其中42个用于Windows，95个用于macOS平台，包括Problerhead Reason、Ableton Live、Sylenth1、Nexus、Reaktor 6和AutoTune。

对于macOS系统，该软件运行多个shell脚本，并使用开源快速仿真器（QEMU）实用程序来启动虚拟Linux操作系统，对于Windows，它依赖VirtualBox进行仿真。

一旦安装并激活，恶意软件还会通过安装其他文件，然后在后台启动虚拟机，从而在系统上获得持久性。
攻击者已经预先配置了这些Linux操作系统映像，以便在启动时自动启动加密货币挖掘软件，而无需用户登录并连接到黑客的命令和控制服务器。

ESET研究人员说：“Linux映像中包含的OVF文件描述了虚拟机的硬件配置：它使用1GB的RAM和2个CPU内核（最大使用率为90%）”。“Linux映像是配置为运行XMRig的Tiny Core Linux 9.0，以及一些文件和脚本，用于不断更新miner”。

该恶意软件“可以同时运行两个映像，每个映像同时占用128 MB的RAM和一个CPU内核”。

Malwarebytes说：“此外，该恶意软件运行两个独立的矿工，每个矿工都从自己的130 MB Qemu映像文件运行，这意味着该恶意软件消耗的资源远远超过了必要的资源”。

这次攻击是你永远不应该信任互联网上的非官方和盗版软件的另一个很好的理由。