ウィルス対策ソフト「ESET インターネット セキュリティ」を展開するサイバーセキュリティ企業「イーセット(ESET)」は、macOSとウィンドウズを標的に2018年8月以降配布されているマルウェア「ラウドマイナー(LoudMiner)」を検出した。違法コピーの一部として、マイニングツールを組み込んだ仮想化ソフトをインストールするという。イーセット公式ブログにおいて、同社研究部門が6月20日に報告した。
ラウドマイナーは、ウィンドウズ用「バーチャルボックス(VirtualBox)」、またはmacOS用「QEMU」といった仮想化ソフト上で動作する、マルチプラットフォームのマルウェア。先に挙げた仮想化ソフト内で、仮想環境用小規模リナックスディストリビューション「タイニー・コア・リナックス(Tiny Core Linux)」(仮想環境用イメージ形態)を用いて、仮想通貨モネロ(XMR)のクリプトジャッキング(仮想通貨の無断マイニング)を行うそうだ。
イーセットによると、ラウドマイナーは、macOSとウィンドウズ両方において、違法コピー版オーディオ(VST)関連ソフトの一部として組み込まれていたという。さらに攻撃者は、匿名性重視のXMRのオープンソースソフトウェア(OSS)のマイニングツール「XMRig」と、マイニングプールを利用しているため、セキュリティ研究者がマイニングに関わるトランザクションをさかのぼる試みは困難だとした。
また違法コピー版のインストール時、まずラウドマイナー、海賊版の順番でインストールされる。ラウドマイナーは、自分自身の存在を秘匿し、再起動後は永続的に自動起動するようになるそうだ。仮想環境内のスクリプトは、マイニングソフト更新のために外部サーバーに連絡できるようになっているという。
さらにイーセットは、攻撃者が、高い処理能力を備えたコンピューターで動作させる機会が多い、CPU利用率が高いオーディオ処理関連ソフトを標的としている点を指摘した。また、それら高機能なソフトの場合、仮想ソフト用イメージなど難なく隠せるほど複雑かつ大規模という事実を悪用している点に触れ、研究者らは次のように付け加えた。
「よりスリムなソリューションではなく、仮想化環境を利用するというアイディアは注目に値するもので、日常的に見られるものではない」
イーセットは、macOS標的のマイニングソフト3系統と、ウィンドウズ標的の1系統をこれまでに検出したという。ユーザーへの警告として、研究者は「最善のアドバイスは、商用ソフトの海賊版をダウンロードしたりインストールしないこと」と述べた。
またmacOSの場合、高いCPU消費に加えて、予期しない「追加」インストーラからのポップアップメッセージ、定期実行に利用されるプログラム「Launch Daemon(launchd)」などが問題発見に役立つという。ウィンドウズの場合も、高いCPU消費以外に、スタートアップサービスリストに新たなサービスが加えられていないか、確認するよう勧めている。
翻訳・編集 コインテレグラフ日本版