木星链 木星链
Ctrl+D收藏木星链
首页 > PEPE币 > 正文

加密货币:木马来袭,五千台电脑沦为挖矿“黑劳工”

作者:

时间:1900/1/1 0:00:00

文:凯尔

来源:蜂巢财经

编者注:原标题为《五千台电脑沦为挖矿“黑劳工”!》

加密货币业兴起,不但带来一个新兴市场,也引诱来唯利是图的黑产团伙,其中之一是挖矿木马。

近日,腾讯安全御见威胁情报中心发文称,他们检测到通过社会工程术传播的“老虎”挖矿木马。攻击者将远控木马程序伪装成“火爆新闻”、“内容”等文件名,在网络上大肆传播,不慎点击者便会立即中招,电脑变得异常卡顿,沦为给黑产团伙挖矿的苦力。

据统计,“老虎”木马已感染超过5000台电脑。通过溯源发现,“老虎”的前身为2018年出现的“灰熊”木马,当时“灰熊”曾感染近10万主机,通过挖门罗币,获取了至少38万元的非法收入。

除了“灰熊”、“老虎”外,KingMiner、BlueHero、“快Go矿工”等木马挖矿程序屡见不鲜。有安全人士透露,由于部分木马已在黑产圈开源,作恶成本降低,病危害加剧,每个人都可能成为“受害者”。

卡巴斯基GReAT团队研究人员发现一个木马化的DeFi应用程序:金色财经消息,国家网络威胁情报共享开放平台发表文章称,近日,卡巴斯基GReAT团队研究人员发现了一个木马化的DeFi应用程序,其编译时间为2011年11月,与Lazarus组织使用的其他工具有许多相似之处。该应用程序为一个合法DeFi钱包,可用于保存和管理加密货币,但是在执行时会植入一个恶意软件。该恶意软件是一个功能齐全的后门,用于控制被感染的受害者主机。[2022/4/18 14:31:56]

业内人士呼吁,在发展加密货币行业之时,行业建立者也应共同抵制作恶行为,加强安全普及,提升安全系数。

木马来袭,五千台电脑秒变“矿机”

公司文员赵路不耐烦地点击、移动鼠标,可鼠标箭头压根不听使唤,在电脑屏幕上龟速移动,画出一道道重影。

前一天,电脑还好好的,突然“变成了砖”,赵路很着急。他打开资源管理器,发现CPU占用率达到了97%,他并没有运行什么大型软件,反复重启多次,问题仍未解决。

窃取加密货币的银行木马Mekotio正针对拉丁美洲用户:金色财经报道,根据网络安全公司ESET发布的报告,被称为“Mekotio”的银行木马正针对拉丁美洲的Windows用户。该木马程序现专注于比特币,而不仅仅是窃取银行业务详细信息。这意味着Mekotio的目标目前是个人用户。Mekotio自2018年3月以来一直处于活动状态,自那时其,该木马一直在不断升级攻击的能力和范围,主要针对的是超过51家银行。[2020/7/18]

遭遇电脑系统严重卡顿的赵路并不知道,此时电脑高速运转的CPU,正在进行大量计算来“挖矿”。这是一个离他认知有一些距离的产业——加密货币挖矿。在近十年的时间,该产业在一个还算不得庞大的币圈里流行。

与赵路有相同遭遇的人不在少数。他们分布在北京、广东、上海、河南、山东等地,手中的一台台电脑开机即挖矿,挖来的币则落入了黑产团伙的钱包。

这些电脑感染了近期流行的一种木马病。腾讯安全御见威胁情报中心通过层层解剖发现,黑产团伙挖矿使用的自建矿池包含字符“laofubtc”,因此,他们将其命名为老虎挖矿木马。据腾讯御见统计,截至12月5日,老虎挖矿木马已感染超过5000台电脑。攻击者将远控木马程序伪装成“火爆新闻”、“内容”、“隐私资料”、“技巧”等文件名,通过社交网络发送到目标电脑,受害者双击查看文件后,会立刻被安装远程控制木马。

动态 | NSABuffMiner挖矿木马对企业内网的攻击正在增长:据腾讯御见威胁情报中心消息,有用户反馈称,企业内部大量机器均被莫名创建账户名为“mm123$”的用户。经过现场收集证据以及大数据溯源,确认为NSABuffMiner新变种。该变种已然成为一个挖矿僵尸网络,通过腾讯安图发现该挖矿木马的感染量在持续增长。 该病母体图标与文件信息均伪装为“某安全软件防护中心模块”,以便逃过手工查杀。该病运行之后,会上传系统相关信息,占用系统部分资源进行挖矿。部分资源用于向内网与外网同时扩散攻击,攻击成功后,将被攻陷的机器变为“肉鸡”以执行上述恶意行为,循环反复。[2019/4/28]

而后,攻击者通过远控木马控制中电脑,下载挖矿木马,这些电脑随即沦为“矿工”。

从手法上看,这是一场在社交网络上传播的无差别攻击。

腾讯御见总结了部分钓鱼攻击文件名,包括“某公司被袭击”、“小姐姐视频”、“会员资料”及“变声器”等。这些抓人眼球的文件名全部与加密货币行业没有直接关联,中电脑的主人在出于猎奇心理点击后,就可能成为帮助黑产团伙赚钱的“黑劳工”。

动态 | 新型挖矿木马升级 变种增加了挖矿币种、钱包ID、矿池等:据腾讯御见威胁情报中心消息,“匿影”挖矿木马是2019年3月初出现的新型挖矿木马,该木马大肆利用功能网盘和图床隐藏自己,并携带NSA武器库具备在局域网横向传播的能力。监测到“匿影”基础设施、牟利手段均有较大更新,新变种增加了挖矿币种、钱包ID、矿池、安装流程、代理等。其中flrefox.exe是这里用来挖取PASC(Pascal Coin)币,矿池为:pasc-us-east1.nanopool.org:15556。[2019/3/27]

部分钓鱼攻击文件名

Syscoin开发者Github账号被盗用 安装程序被嵌入恶意木马:今日SYS(Syscoin)向其社区发布了一个安全通知,称其一名开发者的Github账号被盗,盗号者篡改了最新Windows安装程序,在安装程序中嵌入了特洛伊木马恶意软件。Syscoin表示,这可能会影响Windows用户下载和运行SYScoin 3.0.4.1 Windows安装文件。Syscoin团队称已提供了预防措施用来预防类似事件再次发生。[2018/6/15]

腾讯御见披露,病攻击者非常狡猾。在挖矿木马文件植入电脑后,该文件将伪装成音频设备公司“WavesAudio”,首次执行后,会用垃圾数据“增肥”到150MB,以此逃避杀软件检测。

矿机程序文件则被伪装成显卡制造商英伟达的驱动程序。一般来说,电脑用户都认为英伟达的驱动是安全且必要的,不会随意删除,因此很难识破和处理。

目前,尚未得知上述黑产团伙通过“老虎木马”挖的是什么币。尽管该挖矿程序中出现了“laofubtc”字符,但加密行业人士认为,用电脑CPU挖比特币的可能性不大,“现在早就过了电脑挖比特币的时代,5000多台电脑组成的分布式矿池,可能还不如几十台好的矿机。”

“灰熊”变异,黑产团伙作恶不断

腾讯御见溯源查询发现,“老虎”挖矿木马的文件服务器baihes.com指向的IP为46.4.156.44。该IP在2018年就引起过安全人士的注意,当时一个名为“灰熊”的挖矿木马BearMiner,其域名miner.gsbean.com也与上述IP直接相关。

腾讯御见推测,“灰熊”和“老虎”属于同一团伙,“老虎”替代“灰熊”挖矿木马,呈现了新的活跃趋势。

2018年7月,深信服安全专家首次曝光了“灰熊”挖矿病。“灰熊”伪装的方式与“老虎”异曲同工,能绕过主流的杀软件,并且潜伏数月。

“灰熊”的危害性更强,据深信服统计,“灰熊”感染的主机近10万台,中主机多表现为异常卡顿,严重影响主机性能。

深信服将该病的危害等级划分为“高危”,查杀难度为“难”。据披露,当时“灰熊”挖的币主要是匿名币门罗币。与比特币不同,门罗币的挖矿门槛低,且容易上手,使用家用电脑便可通过CPU和显卡来挖矿。

此外,由于所有的门罗交易都使用隐蔽地址来保护接收者的隐私,以致黑产团伙挖得的币,难以追踪去向。

根据深信服去年7月份的统计数据,“灰熊”病在当时挖了420个门罗币。按当时927元的币价换算,攻击者通过木马病非法挖矿所得超38万元,而这花费的成本并不高。

在黑产圈,名为“大灰狼”的远程控制木马是较为流行的远程控制工具,“老虎”病也正是通过这个远控工具,在受害者的电脑中植入病。

据传,“大灰狼”的原始作者已去世,但相关代码已流落黑产圈,还开源共享起来。不同的病木马团伙对其定制改造后,衍生出诸多变种,无形中减少了黑产团伙开发病的成本。

除了“灰熊”、“老虎”之外,这几年,KingMiner挖矿木马、BlueHero挖矿蠕虫病、“快Go矿工”等木马程序屡见不鲜。2018年底,湖南衡阳市局石鼓分局还曾破获一起病挖矿案件,某计算机专业毕业生,通过给网吧电脑装木马,远程挖矿获利上亿元。

“老虎”病入侵示意图

在社交网络发达的今天,人们每天都会接触大量的信息,一不小心,就可能成为黑客的“挖矿苦力”。当你发现电脑突然出现严重卡顿的异常,你的电脑很可能在为别人紧锣密鼓地创造不当利润。

安全专家提示,互联网用户不要随意打开来历不明的文件。在点开文件之前,建议打开资源管理器文件夹选项,“查看已知文件的扩展名”。当发现文件图标为Office、音乐、视频文件,而文件的扩展名为“exe、com、pif、bat”时,即可立刻判断为危险文件,应立即删除,并使用杀软件查杀。

区块链和数字货币的兴起,让“挖矿”成为一个新兴产业且逐渐繁荣。利益往往容易滋生罪恶,挖矿木马、黑客盗币、暗网交易等事件层出不穷,“黑产”也是这个新兴行业的“硬币背面”。

业内人士呼吁,在新技术、新行业初生之时,行业参与者应共同提升安全技术储备,共同抵制黑客、黑产的作恶行为;专业的安全团队不妨成立安全联盟,向大众普及基本的网络安全常识,加强对新病的公示和预警,以免不了解加密货币的公众沦为挖矿的“黑劳工”。

互动时间

你遭遇过挖矿木马吗?

标签:加密货币COINOININE绿洲币是加密货币吗newretailcoinCatzCoinPINE

PEPE币热门资讯
MAKE:Maker MCD 上线前,你必须了解的几件事

来源:链闻ChainNews撰文:LeftOfCenter11月18日,对于以太坊和DeFi生态来说,是个重要的日子.

1900/1/1 0:00:00
ASI:抗ASIC的算法是否对PoW的安全性有利?

前言:本文旗帜鲜明地认为对ASIC友好的算法才能让普通的矿机生产商参与进来,而抗ASIC的加密算法反而为普通矿机厂商设立了很高的门槛,导致大型厂商更有竞争优势,从而让挖矿走向中心化.

1900/1/1 0:00:00
LIBRA:Libra发布项目最新进展,测试网交易已超过51000笔

作者:XiuMU来源:比推bitpush.news比推消息,社交媒体巨头Facebook的加密项目Libra在宣布后五个月通过官方网站发布了其目前的进展情况.

1900/1/1 0:00:00
区块链:2019年初的区块链预言,现在实现了几个?

大家都想做行业的先知。2019年初,比特币价格徘徊在3500美元左右,市场已经没有了哀嚎,取而代之的是沉默.

1900/1/1 0:00:00
BTC:暗潮涌动,ERC-20 BTC 正在搅动市场

作者:张先生?来源:加密谷借贷是门古老的生意,很老很老。中国古书上记载着,犹太人历史上记载着,红顶商人胡雪岩从经营钱庄发家,现代銀行家靠着借贷作为资金杠杆发家.

1900/1/1 0:00:00
ICE:科普 | 神奇了,数字货币怎么能够离线支付

作者:陈利人来源:待字闺中常看到数字货币的文章写,“过不了多久,你的手机上,就能用上央行的数字货币,支付可以“离线”进行,不用网络和手机信号,手机和手机之间碰一碰,就可以完成.

1900/1/1 0:00:00