微软当地时间2018年3月7日发布博文称发现大规模加密货币挖矿企图,Dofoil 木马变种携带挖矿程序的 Payload 滥用受害者的CPU进行挖矿,该变种仅用12个小时就感染了近50万台设备,微软表示这一活动已被 Windows Defender(Windows 7、8.1和10)阻止。
Dofoil变种疯狂感染俄罗斯设备
Dofoil(又名 Smoke Loader)是一款用来下载其它恶意软件的应用程序,2011年开始浮出水面。这款软件通常通过垃圾邮件活动和漏洞利用工具进行传播。当 Dofoil 安装就绪后,便会用命令与控制(C&C)服务器的最近更新将自己替换,从而加大检测难度。
Windows Defender 3月6日利用基于行为的信号和机器学习模型检测到约8万个 Dofoil 变种实例,随后在12小时内实例数量猛增至40多万个。这波攻击主要针对的是俄罗斯、土耳其和乌克兰的计算机,其比例分别为73%、18%和4%。
巧妙规避监测
在这起攻击中,Dofoil 被发现在受感染的以太币挖矿电脑中释放挖矿程序,将其作为 Payload,从而滥用受害者的 CPU。为了躲避检测,这些变种将自己伪装成合法的 Windows 二进制文件,实则携带有加密货币挖矿 Payload。研究人员指出,Dofoil 木马使用代码注入技术,利用恶意代码生成一个合法进程的新实例以便运行恶意代码,欺骗进程工具以及反病毒工具,让其误以为运行的是原进程。
微软方面表示,运行 Windows 7、8.1和10的用户受到 Windows Defender AV 或 Microsoft Security Essentials 的保护,建议用户升级到最新的操作系统。
加密货币挖矿成风
自2017年以来,比特币势如破竹,价格涨幅超过10倍。全球各地的消费者跃跃欲试,都想在比特币市场分一杯羹,之后比特币热度稍适减退,门罗币等数字货币也越来越受矿工们的青睐,加密货币的价格不断上升,攻击者也比以前显得更有“动力”。2017年5月以来活跃的勒索软件攻击方式正在被加密货币挖矿程序攻击逐步替代,这种现象也引发出大量安全隐患。
何为挖矿?
以比特币为例,开采比特币就像开采黄金,需要投入工作才能获得报酬。但这里所说工作并非劳力劳动,而是利用自己的时间和计算机处理能力赚取比特币。“矿工”肩负着维护、保护比特币的去中心化会计系统的责任。每当有比特币交易时,都会记录在被称为区块链的数字分类账中。矿工下载一款特殊软件核实并收集新的交易,并将其添加到区块链,从而更新这个数字分类账。此后,矿工必须解决一个数学难题,即将交易区块添加到链中。矿工以此赚取比特币和交易费。
挖矿的安全风险?
随着比特币等数字货币日趋成熟,挖矿也会变得更具挑战性。一开始,用户可能会利用家用电脑挖矿赚取可观的数字货币,但随着数学问题变得太过复杂进而需要大量昂贵的计算能力。
安全风险也随之而来。由于矿工需要越来越多的计算能力赚取比特币,一些矿工开始感染公共 WiFi 网络,以此访问别人的设备来挖币。而这样的案例就发生在阿根廷首都布宜诺斯艾利斯一家咖啡店,遭遇恶意软件感染后该咖啡店的 WiFi 网络存在10秒的登录延迟,恶意软件作者则利用这个延迟时间来访问用户的笔记本进行挖矿。
除了公共 WiFi 网络,曾有数百万个网站被挖矿程序感染用来访问用户的设备进行挖矿,而这已经成为广泛存在的问题。据传,超过10亿台设备被基于 Web 的挖矿程序感染,导致运行速度变慢。然而,运行变慢并不是最坏的情况。遭遇“挖矿劫持”可能会占用设备100%的资源,导致设备过热,最终损坏设备。
如何预防“挖矿劫持”?
不浏览非法(明显具有诱惑性的)网站。
定期清理浏览器,清除所有的本地缓存,查杀病毒。
安装防火墙和防病毒软件,建议病毒库设置为实时更新。
绝大多数家庭都忽略无线路由器的安全问题,这些无线路由器可被攻击者用来传播恶意软件,建议定期关闭路由器电源或者进行路由器重启。
勿访问公共 WiFi 网络,这些网络通常不安全,尤其是那些不经安全验证就可连接的网络。
使用 VPN,考虑在家庭或工作网络以外的地方使用 VPN。这样的安全连接能确保第三方无法拦截或读取数据。
保护设备,比特币恶意软件这类新威胁一直在不断浮现,建议用户关注最新的威胁信息。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。