ESET-Forscher haben nach eigenen Angaben eine weitere Art von plattformübergreifender Malware zum Schürfen von Crypto-Währungen entdeckt. Der Crypto-Trojaner „LoudMiner“ setzt auf Virtualisierungssoftware – QEMU bei MacOS und VirtualBox bei Windows – um an Crypto-Währungen bei Windows- und MacOS-Systemen zu gelangen. LoudMiner versteckt sich in Raubkopien von Audio-Programmen, die das von Steinberg entwickelte VST-Protokoll (Virtual Studio Technology) verwenden. Für diese Anwendungen werden Geräte mit guter Rechenleistung benötigt. Eine erfolgreiche Infektion des Systems bleibt ohne eine umfassende Sicherheitslösung dadurch zunächst unbemerkt. Ihre Ergebnisse haben die ESET-Forscher auf WeLiveSecurity veröffentlicht.

„VST-Anwendungen kosten im Handel mehrere Hundert Euro, je nach Variante. Gerade solche Programme sind bei Raubkopierern beliebt“, erklärt Thomas Uhlemann, ESET Security Specialist. Die Vorgehensweise der Cyberkriminellen ist clever. „LoudMiner zielt auf Audio-Anwendungen ab, da Systeme, auf denen solche Programme zum Einsatz kommen, in der Regel über viel Rechenleistung verfügen“, so Uhlemann weiter. „Hinzu kommt, dass MacOS-Nutzer gerne auf einen Virenschutz verzichten. Neben der hohen Rechenleistung, die diese Audio-Anwendungen benötigen, ist das eine perfekte Grundlage für Angreifer.“

Bei LoudMiner falle auf, dass das Schadprogramm auf virtuelle Maschinen setzt. „Das ist ungewöhnlich und sicherlich so nicht üblich. Insgesamt haben wir bei unseren Untersuchungen vier Versionen des Crypto-Trojaners identifiziert“, fasst der ESET-Sicherheitsexperte die vorliegende Analyse zusammen. Diese Varianten von LoudMiner unterscheiden sich in der Weise, wie das Schadprogramm mit der jeweiligen Software verknüpft ist oder wie die Domain des C&C-Servers und die Versionsnummer lauten. Die Anfänge von LoudMiner können die ESET-Sicherheitsexperten bis in den August 2018 zurückverfolgen.

ESET empfiehlt Anwendern, niemals Raubkopien kostenpflichtiger Software herunterzuladen. Es ist nicht unüblich, dass sich hier Schadprogramme verstecken. Darüber hinaus sollten Nutzer auf unerwartete Hinweisfenster „zusätzlicher“ Software beim Installationsvorgang achten sowie auf eine höhere CPU-Auslastung als üblich und neue Dienste und Verbindungen zu ungewöhnlichen Domains. Zudem zeigt dieser Vorfall erneut, wie wichtig der Einsatz einer umfassenden Sicherheitslösung ist – auch für Macs.

Mehr Details und Hintergründe finden sich im Blog auf WeLiveSecurity: www.welivesecurity.com/deutsch/2019/06/20/loudminer-plattformuebergreifender-crypto-trojaner-in-gecrackter-vst-software/.

Dr. Jörg Schröper ist Chefredakteur der LANline.