ESET、仮想マシン設置型の珍しいマイニングマルウェア「LoudMiner」を報告

（Image: Shutterstock.com）

キヤノン株式会社が運営するESETマルウェア情報局は、Windows/macOSを狙ったマイニングマルウェア「LoudMiner」について詳細を報告した。LoudMinerは2018年8月以降に確認された常駐型の仮想通貨マイナー。仮想マシンで動くTiny Core Linux上で仮想通貨Monero（モネロ）を不正にマイニングする。

ESETはLoudMinerを「珍しいタイプのマルウェア」と表現している。同マルウェアは感染PC上にVirtualBoxまたはQEMUで仮想マシンを構築し、そこでマイニングを行うクロスプラットフォームマイナーと呼ばれる構造を持つ。これは複雑な仕組みであり、大きな容量が必要となる。一般的にマルウェアはこっそり忍ばせるものであるから、この巨大なマイニングマルウェアは珍しい存在となっている。

古くからあるマルウェアだが、今回感染元として紹介されたのはあるWordPressベースのWebサイト。配布されている海賊版のオーディオ系ソフトウェアのうち、いくつかからLoudMinerが検出されたという。

仮想通貨のマイニングにはマシンパワーが必要となるが、オーディオ系ソフトをインストールするPCは性能が良いものが多く、ソフトウェアも複数を統合してパッケージ化する大容量のものであるため、マルウェアを混入させても発覚しづらい。マイニングマルウェアによるトロイの木馬を敢行するのに有利な条件がそろっている。

マルウェア混入の海賊版ソフトウェアをインストールする際、たとえばWindowsの場合は米Oracle開発の仮想環境VirtualBoxのインストール許可を求められる。許可すると仮想マシンがセットアップされ、Tiny Core Linuxがバックグラウンドで起動する。仮想マシンはCPUを最大90％占有し、仮想通貨MoneroのマイニングソフトXMRigをベースとしたソフトウェアを用いる。マイニングプールを使用してトランザクションの追跡対策を行いながら、ユーザーの目を盗んで不正マイニングを行うという。

そもそもソフトウェアの不正コピーを欲しがる人が被害に遭っているわけだが、対策としてはそういった海賊版に手を出さないことが最も確実だ。類似のマルウェアへの感染を見分ける方法として、ESETはいくつか警戒すべき状況を挙げた。

• ソフトウェアのインストール時に無関係なインストーラが許可を求めてきた
• 意図してインストールしたわけではないプロセスが大量にCPUリソースを消費している
• スタートアップサービスに不審な新しいサービス（Windows）またはLaunch Daemon（macOS）が登録された
• 奇妙なドメイン名へのネットワーク接続が頻繁にある