De mod voor GTA V, Arbuz, is uitgerust met een script dat een aangepaste versie van XMRig binnenhaalt zodra de mod wordt geïnstalleerd door slachtoffers. De malware controleert eerst of het systeem niet al besmet is en haalt vervolgens de miner zelf binnen vanaf een Google Drive-account. De malware controleert tijdens het minen of gebruikers hun systeem scannen met antimalware-tools of taakbeheer open hebben staan. WaterMiner schakelt zichzelf dan uit om niet op te vallen.

Scriptkiddy

De malware is ontdekt door Minerva. De onderzoekers hebben de malware geanalyseerd en concluderen dat dit niet het werk is van een professional. Veel van de code is bij elkaar geraapt uit andere malafide projecten en de manier waarop de malware wordt verspreid verdient ook geen schoonheidsprijs. De maker (en verspreider) doet dat onder verschillende gebruikersnamen, maar verwart deze blijkbaar en geeft in sommige posts zelfs toe dat hij ook de maker is van een andere GTA V-mod waardoor hij in feite z'n identiteit prijsgeeft.

"Het is duidelijk dat de slechte operational security (opsec) van 0pc0d3r (de nickname van de malware-schrijver) prijsgeeft dat we niet te maken hebben met een ervaren cybercrimineel. Door de activiteiten te volgen die verbonden zijn aan deze nickname hebben wij de mogelijke identiteit van de malafide hacker kunnen achterhalen," aldus een van de onderzoekers van Minerva.

Workaround

Ondanks dat zit de malware zelf goed genoeg in elkaar om niet makkelijk gedetecteerd te worden. Daar staat dan wel weer tegenover dat de malware slechts via één registerwaarde kijkt of deze geïnstalleerd is en/of actief is. De malware maakt namelijk de volgende registersleutel aan: "HKLM\Software\IntelPlatform" met de waarde "Ld566xsMp01a" Deze staat standaard op "nothing". Als de malware echter geïnstalleerd en actief is, wordt deze op "loaded" gezet. Door handmatig deze waarde op loaded te zetten zorg je ervoor dat de malware zichzelf niet start.

Het is niet de eerste keer dat mining malware wordt ingezet om Monero te minen. Er zijn de afgelopen maanden al verschillende websites en servers besmet geraakt. Daarnaast zijn er ook steeds meer websites die moedwillig JavaScript-miners toevoegen aan webpagina's.

Lees ook: Websites die bezoekers cryptovaluta laten minen