利用虛假的Flash更新來傳播加密貨幣挖礦機
最近出現一些具備偽裝性的惡意可執行檔案、基於指令碼的下載器被用來安裝加密貨幣挖礦機、資訊竊取器、勒索軟體等惡意軟體。如果受害者在有漏洞的Windows主機上執行這種惡意軟體,那麼受害者很難發現惡意軟體的任何可見的活動。
Unit42研究人員最近發現一起使用欺騙技術的假Flash更新。2018年8月,一些樣本模仿Flash更新通過彈窗通知從官方Adobe下載。假的Flash更新會在使用者機器上安裝XMRig加密貨幣挖礦機這類使用者並不想要的軟體,不過,惡意軟體同時也會將受害者的Flash Player更新到最新版本。
因為確實Flash已經更新成功,所以一些潛在受害者可能並不會注意到其惡意活動。然而,XMRig加密貨幣挖礦機或其他安裝的惡意程式都是在後臺靜默執行的。
圖1: 攻擊活動流圖
趨勢
在搜尋最新的假Flash更新過程中,研究人員注意到一個來自非Adobe的基於雲的伺服器的以AdobeFlashPlayer__命名的Windows可執行檔案。這些下載在URL中都含有字串flashplayer_down.php?clickid=。研究人員從2018年3月開始共發現113個滿足這種條件的惡意軟體樣本,其中77個含有CoinMiner標籤,剩餘36個樣本與其他77個CoinMiner相關的可執行檔案共享其他的標籤。
圖2: 攻擊活動中假Flash更新器的數量
細節
基於AutoFocus的資料,還不能確定有多少潛在的受害者訪問了傳播假的Flash更新的URL。但研究人員2018年8月24日測試了SHA256雜湊值為485352a3985bce69a020dc49e970fde337279eb1986ea699ca6bec1f5a8068ac的樣本。該樣本可以生成Adobe Flash installer彈出視窗和Flash Player安裝,而XMRig加密貨幣挖礦機在受感染的Windows主機後臺執行。受害者會接收到關於執行下載檔案的告警訊息。
圖3: 執行假Flash更新器的告警訊息
圖4: 執行程式後,從Adobe下載真實的Flash Player
圖5: 真實Flash Player安裝過程
圖6: 安裝過程最後會詢問Flash更新選項
圖7: Adobe感謝使用者安裝Flash Player的頁面
圖8: Flash Player更新到最新版
感染過程中的網路流量主要源於Flash更新。但受感染的主機很快會在TCP 14444埠生成與XMRig加密貨幣挖礦相關的流量。挖礦機使用的Monero錢包是:
41ompKc8rx9eEXtAAm6RJTTm6jg8p6v3y33UqLMsUJS3gdUh739yf7ThiSVzsU4me7hbtVB61rf7EAVsJeRJKGQH4LFi3hR
圖9: Wireshark抓取的感染後的流量(從XMRig執行開始)
圖10: 含有Monero錢包地址的XMRig流量
流量最開始,受感染的Windows主機會生成到osdsoft[.]com的HTTP POST請求。該域名與推送加密貨幣挖礦機和其他使用者不想要的軟體的更新或安裝器相關聯。比如,2017年12月發現的free-mod-menu-download-ps3.exe,其XMRig流量就位於TCP 14444埠。其他惡意軟體樣本也顯示osdsoft[.]com與惡意軟體有關。
總結
該攻擊使用合法活動來隱藏加密貨幣挖礦機和其他使用者不想要的軟體的傳播。所以,建議使用者要注意推送的Flash更新,以及更新後設備的執行情況,比如流量、CPU等。