O Bird Miner é um minerador de moedas para os sistemas MacOS, e que se espalha através de um instalador crackado para o software de produção musical Ableton Live, distribuido num website de pirataria designado por VST Crack. Este instalador tem mais de 2.6GB de tamanho.

Como funciona?

Depois de instalado o script faz diversas operações, incluindo mover os ficheiros instalados para novas localizações com nomes aleatórios.

Um dos scripts denomina-se Crax e é usado para evitar a deteção, verificando se o Activity Monitor está a correr, e interrompe outros processos caso tal se verifique; verifica também o uso do CPU e interrompe qualquer processo que esteja a consumir ou ocupar o CPU acima dos 85%.

Além do Crax, é lançado outro executável que é a velha versão do Qemu, um emulador open-source, que permite aos utilizadores correr executáveis de Linux em sistemas que não são Linux. Desta forma, o Qemu é usado para correr o conteúdo de ficheiros de imagem que contêm um sistema Linux "bootável". A imagem contém o ficheiro mydata.tgz que é usado para carregar determinados ficheiros na inicialização do sistema, incluindo um script para executar comandos quando a imagem do sistema é iniciada.

De forma a evitar problemas parecidos no futuro, os utilizadores são aconselhados a correr sempre software original.

Mais informações no blogue do Malwarebytes: https://blog.malwarebytes.com/mac/2019/06/new-mac-cryptominer-malwarebytes-detects-as-bird-miner-runs-by-emulating-linux/