loudminer - RunkIntel

# LoudMiner > Tipo: **malware** · S0451 · [MITRE ATT&CK](https://attack.mitre.org/software/S0451) ## Descrição [[loudminer|LoudMiner]] é um minerador de criptomoeda sofisticado que utiliza software de virtualização (QEMU/VirtualBox) para executar o minerador Monero em uma máquina virtual oculta, separando efetivamente o processo de mineração do sistema operacional host e dificultando a detecção por soluções de segurança. O [[loudminer|LoudMiner]] foi distribuído embutido em cópias piratas de plugins de produção musical Virtual Studio Technology (VST) para Windows e macOS, visando específicamente artistas e produtores musicais que buscam software premium gratuitamente. O LoudMiner persiste via Launch Agent ([[t1543-004-launch-daemon|T1543.004]]) no macOS e Windows Service ([[t1543-003-windows-service|T1543.003]]) no Windows, garantindo execução contínua da VM de mineração. O malware usa Launchctl ([[t1569-001-launchctl|T1569.001]]) e Service Execution ([[t1569-002-service-execution|T1569.002]]) para inicialização automática. Arquivos e diretórios ocultos ([[t1564-001-hidden-files-and-directories|T1564.001]]) e comandos ofuscados ([[t1027-010-command-obfuscation|T1027.010]]) protegem os componentes da VM mineradora. A coleta de informações de rede ([[t1016-system-network-configuration-discovery|T1016]]) e de processos ([[t1057-process-discovery|T1057]]) permite ao malware ajustar o uso de recursos para não ser detectado por picos de CPU. O vetor de distribuição via software pirata de produção musical torna o LoudMiner particularmente relevante no Brasil, onde o mercado de músicos independentes e produtores é extenso e a busca por versões "cracked" de plugins VST premium como Serum, Omnisphere e Kontakt é comum. Organizações com políticas de controle de software e uso de software licenciado reduzem significativamente o risco de infecção. **Plataformas:** macOS, Windows ## Técnicas Utilizadas - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1569-001-launchctl|T1569.001 - Launchctl]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1543-004-launch-daemon|T1543.004 - Launch Daemon]] - [[t1496-001-compute-hijacking|T1496.001 - Compute Hijacking]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1569-002-service-execution|T1569.002 - Service Execution]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] ## Detecção - **[[ds-0009-process|Process Creation]]** - Monitorar execução de QEMU ou VirtualBox por usuários comuns em estações de trabalho - presença de hypervisor não autorizado é indicador forte de cryptojacking via LoudMiner. - **[[ds-0015-application-log|Application Log Content]]** - Detectar alta utilização de CPU persistente (>70% por mais de 5 minutos) combinada com processos de VM em execução - padrão característico de mineração dentro de VM oculta. - **[[ds-0022-file|File Creation]]** - Alertar para criação de arquivos de disco de VM (`.vmdk`, `.qcow2`, `.vdi`) em diretórios do usuário por instaladores de software de produção musical. ```sigma title: LoudMiner QEMU Cryptomining VM Execution status: experimental logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\qemu-system-x86_64.exe' - '\qemu-system-i386.exe' ParentImage|contains|all: - '\Users\' condition: selection falsepositives: - Development environments using QEMU legitimately level: high tags: - attack.impact - attack.t1496.001 - code/distill ``` ## Relevância LATAM/Brasil O Brasil possui uma das maiores cenas de música independente da América Latina, com ampla base de produtores musicais que frequentemente buscam plugins VST via canais não oficiais. A distribuição do LoudMiner em plugins cracked como Ableton, Serum e Omnisphere representa risco real para este segmento. Além do impacto de desempenho, o uso não detectado resulta em custos elevados de energia e potencial comprometimento de credenciais armazenadas nos sistemas afetados. ## Referências - [MITRE ATT&CK - S0451](https://attack.mitre.org/software/S0451) - [ESET - LoudMiner: Cross-platform mining in cracked VST software](https://www.welivesecurity.com/2019/07/02/loudminer-cracked-vst-software/)