吃雞開外掛小心中標!揭秘 8 大奇葩挖礦木馬斂財之道

也許你從來都沒有擁有過加密貨幣,但就在你看「小片片」、玩遊戲、喝咖啡的過程中,很有可能你電腦的 CPU 正在被駭客利用,偷偷為他挖礦賺取數額不等的數位貨幣。不信?請看頻頻爆出的各種挖礦木馬的盤點,它真的就在你身邊,從未走遠~
評論
評論

本文來自合作媒體 雷鋒網 ,INSIDE 授權轉載

要說今年最火的病毒類別,應屬勒索病毒,連街上大媽都能跟你聊兩句「想哭」病毒。

但要論賺錢能力,可能「悶聲發大財」的挖礦木馬更勝一籌,尤其在「炒幣」風暴來襲,比特幣、以太坊等數位貨幣價格屢創新高的 2017 年。

隨著不斷攀升的價格和日益減少的加密貨幣數量,各類挖礦木馬也層出不窮。

與那些自願為礦池提供算力並獲取報酬的普通礦工不同,「挖礦木馬」是駭客在未授權的情況下向伺服器惡意植入程式,並盜用了個人電腦的算力來獲取不義之財。

也許你從來都沒有擁有過數位貨幣,但就在你看「小片片」、玩遊戲、喝咖啡的過程中,很有可能你電腦的 CPU 正在被駭客利用,偷偷為他挖礦賺取數額不等的數位貨幣。

上面這句話並非危言聳聽,不信,請看頻頻爆出的各種挖礦木馬的盤點,它真的就在你身邊,從未走遠~~~

1、上色情網站:掏空你的身體……還有 CPU

以後看「小片片」要小心了,色情網站不只會掏空你的身體,還會掏空你的電腦!

2017 年 7 月,資安研究人員發現,有多個網站在其網頁內嵌了挖礦 JavaScript 腳本,使用者一旦進入此類網站,JS 腳本就會自動執行,佔用大量的 CPU 資源以挖取門羅幣,使電腦出現卡頓。

到底是什麼樣的網站會成為目標?

除了小片片,愛看小說、愛打小遊戲的朋友也要注意了!

研究人員發現,內嵌 JS 挖礦的站點主要有色情影片、小說、網頁遊戲等類型,由於這類站點打開後往往會停留一段時間才出現界面,使用者可能不會懷疑是因為電媼卡頓的原因,這也成為駭客利用色情網頁挖礦的原因之一。

該 JS 挖礦機是由 Coinhive(專門提供挖礦的 JS 引擎)提供的一個服務,採用了 Cryptonight 挖礦算法挖門羅幣,而 Cryptonight 算法複雜、佔用資源高,常被植入普通使用者機器,佔用其 CPU 資源來挖礦。

諷刺的是,Coinhive 特別說明不要在不提示使用者的情況下使用該服務,因為使用者的利益比任何公司短期利益都要重要的多。然而實際情況是該服務已經被各個站點濫用,有媒體評價 Coinhive 為最受惡意軟體開發者喜歡的「門羅幣收割機」。

目前,門羅幣也成為駭客最喜歡挖的一類幣,據資安專家分析,主要原因是因為比特幣挖礦難度太大,需要專業的礦機,而門羅幣挖掘難度相對較小,普通的 PC 電腦就可以挖掘。

2、當心在星巴克也被「挖礦」

在世界各地的星巴克裡,我們經常能看到帶著筆電辦公的白領們。

在 2017 年年末,駭客盯上了這些電腦配備還不錯的人,他們通過植入挖礦木馬,把筆記本變成了自己的礦機,瘋狂挖掘門羅幣。

最先發現該情況的是一位名為 Dinkin 的推特使用者,他對布宜諾斯艾利斯的星巴克喊話:餵,老兄,你家的公共 WiFi 被駭客挖礦了,延遲了 10 秒啊,快來看看哪~~~

但星巴克卻很淡定,在事件曝光 10 天後,才終於做出了回應,而且回應的主要內容是推回給 WiFi 提供商~~~

大意就是,已聯繫了互聯網服務提供商,發現 WiFi 不是由星巴克運營的,所以這不是星巴克可以控制的東西。(言外之意,這事兒不怪我,我也很無奈啊~)上述情況只發生在個別門店,目前對此事已經進行了處理。可以說是一點認錯的態度都沒有~~~

不過,根據公佈的腳本可以看出,駭客主要通過入侵 WIFI 提供商, 在 WIFI 連接頁面被植入挖礦代碼,導致使用者在連接 WIFI 時執行挖礦程式。Hackread.com(駭客研究網站)和 Blockexplorer.com(比特幣挖礦網站)均表示,這確實是 Coinhive 代碼,專門負責幫駭客挖掘門羅幣。

3、披著「網賺」的外衣,幹著惡意挖礦的勾當

最近中國很流行一個網賺,叫做「太極掛機」軟體,先看看它的宣傳語,十分誘惑人心。

大意就是你只需下載運行該軟體,剩下的,啥都不用做就可以輕鬆賺錢,就等著天下掉餡餅了!

其實號稱掛機軟體的網賺一直以來都有,但還是有很多人真的相信天下就是有免費的午餐。

據安全人員研究,所謂的掛機網賺只是木馬病毒的幌子。包括「太極掛機軟體」在內的多款類似惡意程式一旦被使用者下載並安裝,不但會大量佔用 CPU 資源進行挖礦操作,還會在使用者機器上傳播 Ramnit 感染型木馬,更有甚者,直接給電腦添加上 MBR 密碼使使用者無法正常登錄系統!

話說,中大獎還得先買彩票呢?這種無投入就能賺錢的事,怎麼能相信呢?

4、搭上僵屍網絡的挖礦木馬

僵屍網絡和挖礦木馬這對病毒,可以說是絕配,很像是可以做出一番「事業」的樣子。

資安專家指出,僵屍網絡具有隱秘、數量大等特點,而挖礦木馬為了提升算力,需要更多的機器,僵屍網絡無疑是最佳選擇。

在挖礦木馬還沒有隱藏在普通軟體之前時,它還只是僵屍網絡一個新拓展的「業務」,能同時做到挖礦、DDoS 兩不誤,這時的挖礦行為還處於「裸奔期」。

比如,2017 年 5 月發現的「Adylkuzz」僵屍網絡,它比「WannaCry」出現的時間還要早,威力也不小,影響了全球幾十萬台機器。

不過有意思的是,「Adylkuzz」入侵成功後會利用「永恆之藍」漏洞阻止其他病毒也利用此類漏洞,資安專家認為這在一定程度上限制了「WannaCry」的傳播。

「WannaCry」及「Adylkuzz」都會利用 windows SMB 遠程提漏洞,「Adylkuzz」入侵到使用者機器後,會阻止 SMB 通訊,這樣就阻止了「WannaCry」傳播。

木馬入侵成功後,就會鏈接 C&C 伺服器,接受挖礦指令,該木馬目前專門挖取門羅幣。

5、病毒能打組合拳,挖礦刷量兩不誤

病毒坑的可能不僅是 PC 的個人電腦的 CPU,還有可能坑金主爸爸。

在 2017 年 11 月來自多個安全實驗室的消息,中國電信校園門戶網站【zsteduapp.10000.gd.cn】提供下載的「天翼校園客戶端」攜帶後門病毒「Backdoor/Modloader」,該病毒可隨時接收遠程指令,利用被感染電腦刷廣告流量和「挖礦」(生產「門羅幣」),讓這些校園使用者的電腦淪為他們牟取利益的「肉雞」。

「天翼校園客戶端」安裝包運行後,後門病毒即被植入電腦。該病毒會訪問遠程 C&C 伺服器存放的廣告配置文件,然後構造隱藏 IE 瀏覽器窗口執行暗刷流量,同時也會釋放門羅幣挖礦者病毒進行挖礦。

天翼校園客戶端安裝後,安裝目錄中會釋放 speedtest.dll 檔案,speedtest.dll 扮演病毒「母體」角色。執行下載、釋放其他病毒模塊,最終完成刷廣告流量和實現挖礦。

也就是說,這種挖礦病毒坑的不只一個個的 PC 使用者,還有很多在這些網站投廣告的金主爸爸。

通過監測發現,該病毒下載的廣告鏈接約 400 個,由於廣告頁面被病毒隱藏,並沒有在使用者電腦端展示出來,這致使廣告主白白增加了流量成本。受該病毒點擊欺詐影響的廣告主不乏騰訊、百度、搜狗、淘寶、IT168、風行網等等。

6、當心 KMS 植入:各大搜索引擎都中招

Key Management Service(KMS)原本只是在 Windows Vista 之後的產品中,所提供的一種新型產品觸發機制,目的是為了微軟遏制非法軟體授權行為。

但正是這個看起來「一身正氣」的工具,卻成為駭客傳播挖礦木馬的途徑之一。

2017 年 12 月 19 日發現,當使用者從網站 kmspi.co 下載激活工具 KMS 時,電腦將被植入挖礦病毒「Trojan/Miner」。該病毒入侵使用者電腦後,會利用電腦瘋狂「挖礦」,讓這些使用者電腦淪為他們牟取利益的「肉雞」。

資安人員發現,該網站在百度、Google、必應等多家搜索引擎中,搜索結果位置都極靠前。在百度搜索關鍵詞「KMSpico」時,帶毒網站赫然排在第二的位置上。

除了大量使用者通過搜索引擎進入帶毒網站,由於 KMS 極為流行,極有可能已經被網友分享到各大技術論壇,形成二次傳播。

7、吃雞開掛需謹慎,害人終害己

為了取得更好的戰績,很多遊戲玩家都選擇使用外掛,尤其是爆火的《絕地求生》幾乎成了外掛的代名詞,很多玩家已沈浸在外掛殺人的快感中無法自拔。

想通過挖礦獲取更多的數位加密貨幣,只有提升演算力一條途徑,提升算力就只能從機器數量及配置入手。而《絕地求生》吃雞遊戲對使用者的 PC 配置要求比較高,這與挖礦木馬的需求相符,這類開掛玩家自然成為駭客盯上的目標。

這下,開掛帶來的惡果終於輪到自己吃了。

2018 年 1 月 4 日發現了一款名為「tlMiner」的 HSR 幣(紅燒肉幣)挖礦木馬,隱藏在遊戲《絕地求生》的輔助程式中,根據網絡上的數據來看,僅僅在 20 日一天就有將近 20 萬台電腦遭到病毒感染。

雖然感染此木馬挖礦後外掛依然可以繼續使用,但安全專家建議,曾經使用過外掛的朋友還是應該回家徹底查一次毒,因為此木馬導致使用者顯卡滿負荷工作,壽命將大幅縮減。

想不到吧,打倒外掛的,竟然是一款挖礦的木馬病毒。

8、瀏覽器外掛也能挖礦,手動安裝需謹慎

2017 年末,一款名為「百度網盤高速下載」的 Chrome 外掛被發現暗藏挖礦腳本,佔用大約 30% 的 CPU 資源挖門羅幣。據稱,這是中國首次出現瀏覽器外掛挖礦事件。

該惡意外掛為第三方製作的非正規外掛,它打著「不限速下載」的幌子,吸引網友關注,再加上添加安裝步驟十分簡單,目前流傳度較廣。安全人員提醒,需要手動添加安裝的外掛,一般都不安全,使用者安裝外掛一定要通過瀏覽器官方應用商店進行。

與可疑郵件或陌生網址等常見的木馬感染管道相比,瀏覽器外掛的安全性並沒有引起網友的足夠重視,再加上不法分子對某些功能的刻意渲染,很容易吸引網民中招。

2018,挖礦病毒還將放出哪些招數?如何防?

據專家預測與早期的裸奔狀態不同,2018 年或將會有越來越多的挖礦腳本隱藏在各類網站進行挖礦。此外,部分玩家對遊戲輔助的「青睞」,或將促使不法分子將更多惡意程式植入到遊戲輔助等常規軟體中。


精選熱門好工作

Video/Image Processing Software Engineer

PicCollage 拼貼趣
臺北市.台灣

獎勵 NT$20,000

Backend 工程師

Omlet Arcade 美商歐姆雷特
臺北市.台灣

獎勵 NT$20,000

資深UI / UX 設計師(中壢)

雷麒科技有限公司
桃園市.台灣

獎勵 NT$20,000

評論