兩款“隱身”門羅幣惡意挖礦軟體浮出水面 專門攻擊Windows和安卓作業系統
根據安全軟體廠商Quick Heal Security Labs和網路安全裝置供應商Fortinet的研究人員透露,市場上出現了兩種專門針對Windows和安卓作業系統的全新門羅幣(Monero)挖礦惡意軟體,這些軟體會隱藏在普通檔案下,並且偽裝成合法的應用程式更新。
Quick Heal Security Labs研究人員稱,這些“隱身”的門羅幣挖礦軟體試圖隱藏在PC版Windows作業系統內。使用者一旦安裝之後,該惡意軟體就會自解壓出一套可執行的VBS指令碼檔案、一個抽取實用程式、以及受密碼保護的存檔和批處理檔案,並且儲存在“C:/ProgramFiles/Windriverhost”目錄下。之後,該惡意軟體會啟動執行ouyk.vbs檔案,確保其挖礦操作持續運轉,同時還會啟動xvvq.bat批處理檔案修改PowerCFG命令讓計算機始終保持啟動狀態。
最後,該惡意軟體會執行driverhost.exe挖礦程式挖掘門羅幣,而xvvq.bat則會使用tasklist命令定期檢查計算機內部的分析工具和防病毒工具。目前尚不清楚這個惡意軟體是通過什麼渠道感染計算機的,但根據Quick Heal Security Labs研究人員推測,網路釣魚和隱藏惡意軟體的廣告可能是罪魁禍首。
另一方面,網路安全裝置供應商Fortinet的研究人員也發現了另一款攻擊安卓作業系統的門羅幣惡意挖礦軟體——Android/HiddenMiner.A!tr,該惡意軟體試圖通過冒充Google Play應用商店更新來破壞安卓裝置。如果這款軟體安裝在模擬器或虛擬機器上,則會自動關閉以避免被防毒軟體分析監測;不過一旦被安裝在移動裝置上,它就會被立即啟用並請求獲取裝置管理許可權。更可怕的是,假如手機機主不授予這款惡意軟體管理許可權,它就會不斷髮出請求,直到使用者接受並允許安裝。
越來越多門羅幣惡意挖礦軟體試圖進行“自我隱藏”
Quick Heal Security Labs研究人員還表示,這些門羅幣惡意挖礦軟體還會對對計算機中央處理單元(CPU)的使用進行限制,確保所有采礦活動佔用的CPU比例不會超過35%——這樣就能確保這些門羅幣惡意挖礦軟體不會被防毒工具分析、監測到。
由於這些惡意挖礦軟體能夠持續執行,並且限制了CPU使用率,導致使用者發現應用程式執行緩慢、或是遇到系統性能問題時不會與加密貨幣挖礦攻擊聯絡在一起,因此往往很長時間都無法發現這些惡意軟體。
另一方面,上述提到的HiddenMiner惡意軟體對安卓使用者的危害性則比較大。因為這款惡意軟體會提示使用者進行Google Play應用商店更新,通常來說,使用者看到此類更新並不會產生太多懷疑,但這個“更新”其實並非來自谷歌。
如何緩解門羅幣惡意挖礦軟體的威脅
如果你想要避免、或減少被門羅幣惡意挖礦軟體攻擊,那麼首先需要讓裝置保持更新,並且定期檢查桌面是否存在危害標誌(IoC)。IBM旗下網路威脅智慧分享平臺IBM X-Force Exchange發現,由於引入了全新簽名機制的Android PacKage(APK)格式,HiddenMiner惡意軟體無法在Android 7.0或更高版本的作業系統上執行。如果這些惡意軟體在Android 7.0或更高版本的作業系統上被執行,就會返回錯誤資訊。
IBM安全人員還建議,可以針對一些常見的危害標誌(IoC)去檢測惡意挖礦軟體。正如Quick Heal Security Labs所述,xvvq.bat惡意檔案中其實也存在一個缺陷,即它只會在工作管理員taskmgr.exe執行時殺死driverhost.exe。因此,只要安全團隊能夠追蹤到driverhost.exe的危害標誌(IoC)並採取措施,就能刪除這個惡意軟體。