Les équipes de recherche d’ESET ont découvert un mineur de crypto monnaies malveillant multiplateformes et au fonctionnement particulièrement original, baptisé LoudMiner.
Pour arriver à ses fins, LoudMiner s’appuie en effet sur un logiciel de virtualisation — Quick Emulator (QEMU) sous macOS et VirtualBox sous Windows — pour extraire la cryptomonnaie depuis une machine virtuelle sous Tiny Core Linux.
LoudMiner est dissimulé dans des copies piratées d’un plugin logiciel audio au format VST (Virtual Studio Technology). Le code malveillant exploite ensuite les machines compromises pour miner la monnaie virtuelle et utilise ensuite le protocole SCP (Secure File Copy) et une clé SSH privée pour se mettre à jour.
« LoudMiner cible les applications audio, probablement parce que les machines exécutant ces applications ont souvent une puissance de traitement plus élevée », explique Marc-Etienne Léveillé, chercheur principal en codes malveillants chez ESET. « Ces applications sont typiquement complexes et ont par nature une consommation CPU élevée, donc les utilisateurs ne trouveront pas cette activité inhabituelle. Et si le principe des crypto-mineurs n’est pas nouveau, utiliser des machines virtuelles au lieu d’une autre solution plus simple est tout à fait remarquable, et ce n’est pas quelque chose que nous avons vu auparavant », poursuit le chercheur.
ESET a constaté que LoudMiner est actif depuis août 2018.
Pour vous protéger contre ce type de menace, ESET recommande fortement de ne jamais télécharger de copies piratées de logiciels commerciaux. ESET conseille également aux utilisateurs de se méfier des popups d’installateurs pour des « extensions » inattendues, d’une consommation CPU plus élevée que d’habitude, ainsi que des services ou des connexions à des noms de domaine curieux.