文|凱爾
編輯|文刀
加密貨幣業興起,不但帶來一個新興市場,也引誘來唯利是圖的黑產團伙,其中之一是挖礦木馬。
近日,騰訊安全御見威脅情報中心發文稱,他們檢測到透過社會工程騙術傳播的“老虎”挖礦木馬(LaofuMiner)。攻擊者將遠控木馬程式偽裝成“火爆新聞”、“色情內容”等檔名,在網路上大肆傳播,不慎點選者便會立即中招,電腦變得異常卡頓,淪為給黑產團伙挖礦的苦力。
據統計,“老虎”木馬已感染超過5000臺電腦。透過溯源發現,“老虎”的前身為2018年出現的“灰熊”木馬,當時“灰熊”曾感染近10萬主機,透過挖門羅幣,獲取了至少38萬元的非法收入。
除了“灰熊”、“老虎”外,KingMiner、BlueHero、“快Go礦工”等木馬挖礦程式屢見不鮮。有安全人士透露,由於部分木馬已在黑產圈開源,作惡成本降低,病毒危害加劇,每個人都可能成為“受害者”。
業內人士呼籲,在發展加密貨幣行業之時,行業建立者也應共同抵制作惡行為,加強安全普及,提升安全係數。
木馬來襲 五千臺電腦秒變“礦機”
公司文員趙路不耐煩地點選、移動滑鼠,可滑鼠箭頭壓根不聽使喚,在電腦螢幕上龜速移動,畫出一道道重影。
前一天,電腦還好好的,突然“變成了磚”,趙路很著急。他開啟資源管理器,發現CPU佔用率達到了97%,他並沒有執行什麼大型軟體,反覆重啟多次,問題仍未解決。
遭遇電腦系統嚴重卡頓的趙路並不知道,此時電腦高速運轉的CPU,正在進行大量計算來“挖礦”。這是一個離他認知有一些距離的產業——加密貨幣挖礦。在近十年的時間,該產業在一個還算不得龐大的幣圈裡流行。
與趙路有相同遭遇的人不在少數。他們分佈在北京、廣東、上海、河南、山東等地,手中的一臺臺電腦開機即挖礦,挖來的幣則落入了黑產團伙的錢包。
這些電腦感染了近期流行的一種木馬病毒。騰訊安全御見威脅情報中心(下稱“騰訊御見”)透過層層解剖發現,黑產團伙挖礦使用的自建礦池包含字元“laofubtc”,因此,他們將其命名為老虎挖礦木馬。
據騰訊御見統計,截至12月5日,老虎挖礦木馬已感染超過5000臺電腦。攻擊者將遠控木馬程式偽裝成“火爆新聞”、“色情內容”、“隱私資料”、“詐騙技巧”等檔名,透過社交網路傳送到目標電腦,受害者雙擊檢視檔案後,會立刻被安裝遠端控制木馬。
而後,攻擊者透過遠控木馬控制中毒電腦,下載挖礦木馬,這些電腦隨即淪為“礦工”。
從手法上看,這是一場在社交網路上傳播的無差別攻擊。
騰訊御見總結了部分釣魚攻擊檔名,包括“某博彩公司被襲擊”、“小姐姐影片”、“會員資料”及“變聲器”等。這些抓人眼球的檔名全部與加密貨幣行業沒有直接關聯,中毒電腦的主人在出於獵奇心理點選後,就可能成為幫助黑產團伙賺錢的“黑勞工”。
部分釣魚攻擊檔名(來源:騰訊御見)
騰訊御見披露,病毒攻擊者非常狡猾。在挖礦木馬檔案植入電腦後,該檔案將偽裝成音訊裝置公司“Waves Audio”,首次執行後,會用垃圾資料“增肥”到150MB,以此逃避防毒軟體檢測。
礦機程式檔案則被偽裝成顯示卡製造商英偉達(NVIDIA)的驅動程式。一般來說,電腦使用者都認為英偉達的驅動是安全且必要的,不會隨意刪除,因此很難識破和處理。
目前,尚未得知上述黑產團伙透過“老虎木馬”挖的是什麼幣。儘管該挖礦程式中出現了“laofubtc”字元,但加密行業人士認為,用電腦CPU挖比特幣(BTC)的可能性不大,“現在早就過了電腦挖比特幣的時代,5000多臺電腦組成的分散式礦池,可能還不如幾十臺好的礦機。”
“灰熊”變異 黑產團伙作惡不斷
騰訊御見溯源查詢發現,“老虎”挖礦木馬的檔案伺服器baihes.com指向的IP為 46.4.156.44。該IP在2018年就引起過安全人士的注意,當時一個名為“灰熊”的挖礦木馬BearMiner,其域名miner.gsbean.com也與上述IP直接相關。
騰訊御見推測,“灰熊”和“老虎”屬於同一團伙, “老虎”替代“灰熊”挖礦木馬,呈現了新的活躍趨勢。
2018年7月,深信服安全專家(下稱“深信服”)首次曝光了“灰熊”挖礦病毒。“灰熊”偽裝的方式與“老虎”異曲同工,能繞過主流的防毒軟體,並且潛伏數月。
“灰熊”的危害性更強,據深信服統計,“灰熊”感染的主機近10萬臺,中毒主機多表現為異常卡頓,嚴重影響主機效能。
深信服將該病毒的危害等級劃分為“高危”,查殺難度為“難”。據披露,當時“灰熊”挖的幣主要是匿名幣門羅幣(XMR)。與比特幣不同,門羅幣的挖礦門檻低,且容易上手,使用家用電腦便可透過CPU和顯示卡來挖礦。
此外,由於所有的門羅交易都使用隱蔽地址來保護接收者的隱私,以致黑產團伙挖得的幣,難以追蹤去向。
根據深信服去年7月份的統計資料,“灰熊”病毒在當時挖了420個門羅幣。按當時927元的幣價換算,攻擊者透過木馬病毒非法挖礦所得超38萬元,而這花費的成本並不高。
在黑產圈,名為“大灰狼”的遠端控制木馬是較為流行的遠端控制工具,“老虎”病毒也正是透過這個遠控工具,在受害者的電腦中植入病毒。
據傳,“大灰狼”的原始作者已去世,但相關程式碼已流落黑產圈,還開源共享起來。不同的病毒木馬團伙對其定製改造後,衍生出諸多變種,無形中減少了黑產團伙開發病毒的成本。
除了“灰熊”、“老虎”之外,這幾年,KingMiner挖礦木馬、BlueHero挖礦蠕蟲病毒、“快Go礦工”等木馬程式屢見不鮮。2018年底,湖南衡陽市公安局石鼓分局還曾破獲一起病毒挖礦案件,某計算機專業畢業生,透過給網咖電腦裝木馬,遠端挖礦獲利上億元。
“老虎”病毒入侵示意圖(來源:騰訊御見)
在社交網路發達的今天,人們每天都會接觸大量的資訊,一不小心,就可能成為駭客的“挖礦苦力”。當你發現電腦突然出現嚴重卡頓的異常,你的電腦很可能在為別人緊鑼密鼓地創造不當利潤。
安全專家提示,網際網路使用者不要隨意開啟來歷不明的檔案。在點開檔案之前,建議開啟資源管理器資料夾選項,“檢視已知檔案的副檔名”。當發現檔案圖示為Office、音樂、影片檔案,而檔案的副檔名為“exe、com、pif、bat”時,即可立刻判斷為危險檔案,應立即刪除,並使用防毒軟體查殺。
區塊鏈和數字貨幣的興起,讓“挖礦”成為一個新興產業且逐漸繁榮。利益往往容易滋生罪惡,挖礦木馬、駭客盜幣、暗網交易等事件層出不窮,“黑產”也是這個新興行業的“硬幣背面”。
業內人士呼籲,在新技術、新行業初生之時,行業參與者應共同提升安全技術儲備,共同抵制駭客、黑產的作惡行為;專業的安全團隊不妨成立安全聯盟,向大眾普及基本的網路安全常識,加強對新病毒的公示和預警,以免不了解加密貨幣的公眾淪為挖礦的“黑勞工”。
