I ricercatori di MalwareBytes hanno scoperto, dentro una versione crackata di Ableton Live, un nuovo miner crypto, denominato Bird Miner, un malware particolarmente difficile da scovare anche per esperti di sicurezza informatica.
Il miner prende di mira gli utenti Mac OS e funziona emulando un sistema Linux con l’esecuzione della mini distro Tiny Core Linux montata con una vecchia versione della macchina virtuale Qemu OS.
Come altri malware di cryptojacking, Bird Miner analizza Activity Monitor per passare inosservato: la prima cosa che fa è controllare che Activity Monitor sia o meno in esecuzione, se lo è e quindi l’utente sta osservando i processi in esecuzione sul Mac, il malware cesserà i suoi due processi, la seconda cosa è verificare il carico della CPU, se sta girando a più dell’85% nuovamente cesserà i due processi.
I due processi che vengono avviati sono com.flagellariaceae.plist che avvia uno script chiamato Pecora e com.Dail.plist che avvia uno script chiamato Krugerite. Sono due script quasi uguali che servono ad eseguire la macchina virtuale (dopo aver fatto un ulteriore controllo dell’Activity Monitor) e far partire la leggerissima distro di Linux.
Ciò che differenzia questo cryptominer da suoi predecessori come DarthMiner è appunto la particolarità di sfruttare la virtualizzazione di Linux che serve a nascondere il codice dai file di MacOS.
Malwarebytes, se aggiornato, riconosce il malware come OSX.BirdMiner
L’articolo Bird Miner – Un nuovo miner di cryptovalute affligge gli utenti Mac OS proviene da F-Hack.
