著名的僵尸网络MyKings自2016 年以来一直保持活跃。在本月18 号,由SophoLabs所撰写的研究报告中指出,MyKings 透过将特定可执行的恶意软件Forshare包装并隐藏在公共网络中,等待恶意软件被使用者不经意下载,就能占用被害者电脑运算能力来盗挖门罗币。
SophosLabs的研究人员在12月18号发表针对恶意程式软件的报告,并且指出著名的僵尸网络MyKings(或称DarkCloud、Smominru)自2016年以来一直活跃。
报告中形容这些僵尸网络上存在的恶意软件,专门攻击那些最容易被攻击的电脑:
透过将特定可执行的恶意软件Forshare藏在正常网络使用的路径上,并且伪装成看似完全无害的档案,就能透过被使用者下载,转而主动感染电脑并盗采门罗币。
其中美国乐坛流行天后泰勒丝(Taylor Swift)的照片,就被攻击者透过程式修改成附带可执行恶意软件的档案,被害电脑一旦下载就会中招。
非法开采价值300万美元的门罗币
SophosLabs 的报告提供关于「僵尸网络如何操作」的完整概述。
由于作者发现该僵尸网络主要攻击以Windows 为主的服务(如MqSQL、MS-SQL),以及网络协议(如Telnet、远程桌面(RDP)、运行监控摄影机的服务器储存器),而将此僵尸网络描述成「无情且重复的攻击者」。
该报告指出,僵尸网络的创建者似乎更喜欢使用开源或其他公共领域的软件,并且擅长「自定义和增强源代码」以插入具攻击性的可执行恶意软件,以及能自动执行更新的自定义组件。
其中最常被提出的是一个叫做「 Forshare」的木马程式,属于被感染服务器上最常见的有效加载程式,一旦被害者电脑下载到这些可执行的恶意软件,Forshare 就能被用来盗挖门罗币(XMR)。
据SophosLabs 估计,僵尸网络营运商迄今为止已经在门罗币上非法赚取约300 万美元(近一亿台币);即使门罗币最近的币价相对较低,营运商每天收入也应该有将近300 美元。
泰勒丝照片也被用来犯罪
在研究报告中所提出的范例,利用美国流行乐坛歌手泰勒丝(Taylor Swift)的图像为例,指出攻击者可以透过将照片经过程式修改后,夹带恶意软件并且上传照片到公共、开放的储存资料库。
这些照片就会在被下载时,自动更新并下载僵尸网络。
SophosLabs 的研究报告也揭开MyKings 持久营运机制背后的复杂本质,该机制通过使用多种命令组合的主动、重复、自我更新过程,让僵尸网络得以在网络上一直延续下去攻击电脑。
即使从计算机中删除了僵尸网络的大多数组件,其余的僵尸网络也可以通过自我更新,将其恢复到完全正常的能力。所有这些都是使用自解压缩的RAR 存档和Windows 批处理文件精心安排的。
这个恶意软件十分贴近位于中国的网络使用者,报告指出目前感染宿主最多的国家,分别是中国、俄罗斯、巴西、美国、印度、日本。
– 统计感染宿主地区分布的圆饼图。图片来源:SophoLabs 研究报告–
其中中国被感染的比例,占全部受感染者的18%。
最近的门罗币恶意程式屡见不鲜
在今年11月,据Cointelegraph发现门罗币(Monero)官方网站(getmonero.org)中,提供给一般大众下载的软体受到短暂的攻击,变成可以窃取加密货币并偷走用户钱包的恶意程式。
同月,斯洛伐克软体安全公司Eset 也透露,经营「Stantinko」僵尸网络的攻击者,通过Youtube 向使用者分送门罗币的挖矿程式模块,并悄悄透过Youtube 在他人电脑上盗采门罗币。
本文链接地址:https://www.wwsww.cn/xmr/2177.html
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。