Nuevo malware para criptominado ataca MAC a través de Ableton 10

Se encontró un nuevo malware para criptominado en Mac conocido como Bird Miner, que aprovecha el instalador crackeado del software Ableton Live 10 para su propagación.

Ableton Live es un software de alta calidad para la producción musical y se utiliza como instrumento para la interpretación en vivo de los DJ. El software también se utiliza para componer, grabar, mezclar y masterizar música.

¿Cómo se propaga?

Según Malwarebytes, el instalador crackeado de Ableton Live 10 se puede descargar desde un sitio web pirata llamado VST Crack. El software pesa un poco más de 2.6 GB. Una vez instalado, este descarga el script posterior a la instalación de Bird Miner, entre otras cosas. El instalador dañado también copia algunos archivos instalados en nuevas ubicaciones con nombres aleatorios.

Los archivos que caen en el sistema infectado con nombres aleatorios tienen una variedad de funciones. Esto incluye el lanzamiento de tres shell scripts diferentes.

Scripts maliciosos

Uno de los scripts lanzados se llama Crax y se instala en el directorio / usr / local / bin /. Crax se asegura de que el malware gane persistencia en el sistema de la víctima sin ser detectado por las soluciones de seguridad.

“Lo primero que hace es verificar si el Monitor de actividad se está ejecutando y, si lo está, descargar los otros procesos. Si el Monitor de actividad no se está ejecutando, el malware pasa por una serie de comprobaciones de uso de la CPU. Si los resultados muestran que está vinculando la CPU a más del 85%, de nuevo se descarga todo «, explicaron los investigadores.

Una vez que Crax completa su proceso de verificación, carga dos procesos más denominados ‘com.Flagellariaceae.plist’ y ‘com.Dail.plist’. Mientras que el primero ejecuta un script llamado Pecora, el segundo ejecuta un script llamado Krugerite.

Estos dos scripts comprueban una vez más el Monitor de actividad y luego ejecutan un ejecutable llamado Nigel, que es una versión antigua del software de código abierto llamado Qemu. El Nigel permite a los atacantes ejecutar el código del minero ocultándolo dentro de las imágenes de Qemu.

Para agregar

Malwarebytes destaca que el malware se detectó por primera vez en un instalador pirateado de Ableton Live 10. Desde entonces, se ha encontrado que se distribuye a través de otro software a través del mismo sitio. El sitio ha estado distribuyendo el malware de una forma u otra durante al menos cuatro meses.