神秘大规模虚拟货币挖矿活动影响全球逾3000万系统

2018-01-30 15:39 标签: 虚拟货币,网络安全

  PaloAlto Networks安全专家近期发现了一项大规模的加密货币挖矿活动,旨在使用开源的XMRig工具挖掘门罗币。目前该攻击活动已持续4个多月,涉及全球系统数量约达3000万,最受影响的国家有泰国(3,545,437),越南(1,830,065)和土耳其(665,058)。

  据安全专家介绍,攻击者使用VBS文件和URL缩短服务来部署采矿工具。例如当攻击者使用Adf.ly短网址服务时,只要用户点击链接就会被重定向,随后下载加密货币挖矿软件。

  安全专家认为Monero的挖掘操作非常庞大,因为目前研究人员已经检测到超过250个独特的Microsoft WindowsPE文件,其中大部分是从在线云存储提供商4sync下载的。这些文件具有通用名称,可能是因为源自文件共享服务。

  攻击者通过VBS文件执行XMRig挖矿软件,并利用XMRig代理服务来隐藏最终的矿池目的地。此外,研究人员还注意到攻击者使用了Nicehash市场来交易哈希处理能力。

  据PaloAlto的专家介绍,去年10月20日是该货币挖掘行动的一个里程碑,在此之前攻击者是使用Windows内置的BITS Admin工具来从远程位置下载XMRig。(注意:一般情况下,最终的playload主要是由msvc.exe安装的。)

神秘大规模虚拟货币挖矿活动影响全球逾3000万系统

  在10月20日之后,安全专家观察到攻击者开始使用HTTP重定向服务。

神秘大规模虚拟货币挖矿活动影响全球逾3000万系统

  而在11月16日起,攻击者改变了恶意软件的攻击策略:

  他们不再使用SFX文件,而是重新采用了一种在Microsoft.NET Framework中编译的可执行文件,该文件将VBS文件写入磁盘并修改受害用户的运行注册表项,以确保持久性。

  目前安全人员观察到攻击策略最后一次改变是在2017年12月下旬,攻击者改变了用来部署恶意软件的dropper:

  在放弃。NET之后,他们使用Borland Delphi编译的dropper来创建必要的VBS文件。与。NET droppers不同的是,这个特定的dropper将VBS文件放在受害用户的启动文件夹中,目的是为了获得持久性。

  令人奇怪的是,规模如此庞大的一个门罗币挖矿活动竟然在这么长的时间内都没有引起人们的注意,相关安全专家认为这种情况很是反常。

  消息来源:SecurityAffairs,HackerNews.cc;

  以上为正文内容。

  网堤安全-专业的云安全解决方案综合服务商!

  转载请注明:网堤安全https://www.ddos.com

 

 

 

行业资讯 Industry Information

关于我们

About Us