著名的殭屍網路「MyKings」自 2016 年以來一直保持活躍。在本月 18 號,由 SophoLabs 所撰寫的研究報告中指出,MyKings 透過將特定可執行的惡意軟體「Forshare」包裝並隱藏在公共網路中,等待惡意軟體被使用者不經意下載,就能佔用被害者電腦運算能力來盜挖門羅幣。
SophosLabs 的研究人員在 12 月 18 號發表針對惡意程式軟體的報告,並且指出著名的殭屍網路「MyKings(或稱 DarkCloud、Smominru)」自2016年以來一直活躍。
報告中形容這些殭屍網路上存在的惡意軟體,專門攻擊那些「最容易被攻擊的電腦」:
透過將特定可執行的惡意軟體「Forshare」藏在正常網路使用的路徑上,並且偽裝成看似完全無害的檔案,就能透過被使用者下載,轉而主動感染電腦並盜採門羅幣。
其中美國樂壇流行天后 泰勒絲(Taylor Swift)的照片,就被攻擊者透過程式修改成附帶可執行惡意軟體的檔案,被害電腦一旦下載就會中招。
非法開採價值300萬美元的門羅幣
SophosLabs 的報告提供關於「殭屍網路如何操作」的完整概述。
由於作者發現該殭屍網路主要攻擊以 Windows 為主的服務(如 MqSQL、MS-SQL),以及網路協議(如 Telnet、遠程桌面(RDP)、運行監控攝影機的服務器儲存器),而將此殭屍網路描述成「無情且重複的攻擊者」。
該報告指出,殭屍網路的創建者似乎更喜歡使用開源或其他公共領域的軟件,並且擅長「自定義和增強源代碼」以插入具攻擊性的可執行惡意軟體,以及能自動執行更新的自定義組件。
其中最常被提出的是一個叫做「 Forshare」的木馬程式,屬於被感染服務器上最常見的有效加載程式,一旦被害者電腦下載到這些可執行的惡意軟體,Forshare 就能被用來盜挖門羅幣(XMR)。
據 SophosLabs 估計,殭屍網路營運商迄今為止已經在門羅幣上非法賺取約 300 萬美元(近一億台幣);即使門羅幣最近的幣價相對較低,營運商每天收入也應該有將近 300 美元。
延伸閱讀:黑科技!用「聲音」部署惡意挖礦程式,駭客透過 .WAV 音檔入侵挖門羅幣 XMR
泰勒絲照片也被用來犯罪
在研究報告中所提出的範例,利用美國流行樂壇歌手 泰勒絲(Taylor Swift)的圖像為例,指出攻擊者可以透過將照片經過程式修改後,夾帶惡意軟體並且上傳照片到公共、開放的儲存資料庫。
這些照片就會在被下載時,自動更新並下載殭屍網路。
SophosLabs 的研究報告也揭開 MyKings 持久營運機制背後的複雜本質,該機制通過使用多種命令組合的主動、重複、自我更新過程,讓殭屍網路得以在網路上一直延續下去攻擊電腦。
「即使從計算機中刪除了殭屍網路的大多數組件,其餘的殭屍網路也可以通過自我更新,將其恢復到完全正常的能力。所有這些都是使用自解壓縮的 RAR 存檔和 Windows 批處理文件精心安排的。」
這個惡意軟體十分貼近位於台灣的網路使用者,報告指出目前感染宿主最多的國家,分別是中國、台灣、俄羅斯、巴西、美國、印度、日本。
– 統計感染宿主國家分佈的圓餅圖。圖片來源:SophoLabs 研究報告 –
其中台灣被感染的比例,佔全部受感染者的 11%。
延伸閱讀:傳 1,000 萬美元礦場遭大火吞噬,礦機製造商出面闢謠:「100% 與我們無關」
最近的門羅幣惡意程式屢見不鮮
在今年 11 月,據 Cointelegraph 發現門羅幣(Monero)官方網站(getmonero.org)中,提供給一般大眾下載的軟體受到短暫的攻擊,變成可以竊取加密貨幣並偷走用戶錢包的惡意程式。
同月,斯洛伐克軟體安全公司 Eset 也透露,經營「Stantinko」殭屍網路的攻擊者,通過 Youtube 向使用者分送門羅幣的挖礦程式模塊,並悄悄透過 Youtube 在他人電腦上盜採門羅幣。
?相關報導?
Mac 惡意軟體隱藏在電腦,偽裝成加密貨幣交易程式 UnionCryptoTrade 疑似來自北韓駭客?
YouTube 也不安全了?防毒軟體 ESET 發現殭屍網路正透過 Youtube 採挖門羅幣
《BlockTempo動區動趨》LINE官方號開通囉~立即加入獲得第一手區塊鏈、加密貨幣新聞報導!
