研究人員發表了一份新的報告,他們認為這是一個“兇殘”的加密貨幣挖礦殭屍網路正隱藏在看似無害的網路內容中,比如泰勒·斯威夫特的照片。
12月18日,SophosLabs(知名網路安全研究機構)的Gabor Szappanos釋出訊息稱,最臭名昭著的殭屍網路MyKings(或稱作DarkCloud或Smominru)自2016年以來一直很活躍。
雖然說網際網路上所有的“沒有打好補丁的弱雞”(引自Sophos的表述)歷來都是被攻擊物件,但最近MyKings駭客組織據稱又新增了Bootkit功能,這使得它更難被發現和有效殺掉。
迄今為止,MyKings組織非法挖掘的加密貨幣已經價值300萬美元
SophosLabs的報告全面介紹了殭屍網路的運作方式,Szappanos將其描述為一個“兇殘的冗餘攻擊者(即不斷重複攻擊)”,主要攻擊基於Windows的網路,這些網路往往執行著資料庫管理系統,如MqSQL和MS-SQL、類似Telnet的網路協議,甚至還有些執行著閉路電視影片儲存裝置的伺服器。
報告指出,殭屍網路的始作俑者似乎更喜歡使用開源軟體或其他公開的軟體,並且非常擅長自定義和改進原始碼,以便於在其中插入可執行攻擊和自動更新程式的木馬程式元件。
殭屍網路對伺服器發起一系列攻擊,目的就是在其上面安裝一個木馬程式,通常是一個名為“Forshare”的特洛伊木馬,這是在被感染伺服器上最常見的一種木馬程式。
該木馬的主要任務是確保各種不同的門羅幣挖礦程式(XMR)在目標硬體上執行,SophosLabs估計殭屍網路運營商到目前為止在門羅幣挖礦上的非法收入約為300萬美元。這意味著,由於加密貨幣最近的相對估值較低,目前他們每天的收入約為300美元。
她可能不是你看起來的那般甜美
來源: SophosLabs Uncut Report
在一個被破譯的木馬樣本中,一張被上傳到網路上的知名女歌星泰勒·斯威夫特(Taylor Swift)的經過隱秘修改的照片,其中就隱藏了一段可執行檔案的程式碼,使用者一旦下載這張照片,就會自動在本地電腦啟動殭屍網路。
SophosLabs的研究揭示了MyKings頑固存在的本質原因,即它透過執行一個整合多個重複執行和自我更新指令碼的程式來使自己實現永生不滅。
“即使殭屍網路的大部分木馬元件已經從計算機中被清除,其餘的元件也有能力透過自帶的更新程式來將其恢復到滿血狀態。所有這些都是使用自解壓RAR文件和Windows批處理檔案進行編譯的。”
報告指出,目前感染者最多的國家是中國、臺灣、俄羅斯、巴西、美國、印度和日本。
與門羅幣相關的犯罪活動
去年11月,Cointelegraph報道稱,Monero官方網站getmonero.org上可供使用者下載的軟體一度被黑,下載該軟體的使用者瞬間被駭客席捲了錢包裡所有的資產。
同一個月,斯洛伐克防毒軟體公司Eset透露,有一夥網路駭客正在透過Youtube傳播一個名為Stantinko的木馬,以此來操縱這個殭屍網路進行門羅幣挖礦。
來源:https://cointelegraphcn.com/news/monero-malware-botnet-lurks-behind-taylor-swift-jpegs
