文|凯尔
编辑|文刀
加密货币业兴起,不但带来一个新兴市场,也引诱来唯利是图的黑产团伙,其中之一是挖矿木马。
近日,腾讯安全御见威胁情报中心发文称,他们检测到通过社会工程骗术传播的“老虎”挖矿木马(LaofuMiner)。攻击者将远控木马程序伪装成“火爆新闻”、“色情内容”等文件名,在网络上大肆传播,不慎点击者便会立即中招,电脑变得异常卡顿,沦为给黑产团伙挖矿的苦力。
据统计,“老虎”木马已感染超过5000台电脑。通过溯源发现,“老虎”的前身为2018年出现的“灰熊”木马,当时“灰熊”曾感染近10万主机,通过挖门罗币,获取了至少38万元的非法收入。
除了“灰熊”、“老虎”外,KingMiner、BlueHero、“快Go矿工”等木马挖矿程序屡见不鲜。有安全人士透露,由于部分木马已在黑产圈开源,作恶成本降低,病毒危害加剧,每个人都可能成为“受害者”。
业内人士呼吁,在发展加密货币行业之时,行业建立者也应共同抵制作恶行为,加强安全普及,提升安全系数。
腾讯御见溯源查询发现,“老虎”挖矿木马的文件服务器baihes.com指向的IP为 46.4.156.44。该IP在2018年就引起过安全人士的注意,当时一个名为“灰熊”的挖矿木马BearMiner,其域名miner.gsbean.com也与上述IP直接相关。
腾讯御见推测,“灰熊”和“老虎”属于同一团伙, “老虎”替代“灰熊”挖矿木马,呈现了新的活跃趋势。
2018年7月,深信服安全专家(下称“深信服”)首次曝光了“灰熊”挖矿病毒。“灰熊”伪装的方式与“老虎”异曲同工,能绕过主流的杀毒软件,并且潜伏数月。
“灰熊”的危害性更强,据深信服统计,“灰熊”感染的主机近10万台,中毒主机多表现为异常卡顿,严重影响主机性能。
深信服将该病毒的危害等级划分为“高危”,查杀难度为“难”。据披露,当时“灰熊”挖的币主要是匿名币门罗币(XMR)。与比特币不同,门罗币的挖矿门槛低,且容易上手,使用家用电脑便可通过CPU和显卡来挖矿。
此外,由于所有的门罗交易都使用隐蔽地址来保护接收者的隐私,以致黑产团伙挖得的币,难以追踪去向。
根据深信服去年7月份的统计数据,“灰熊”病毒在当时挖了420个门罗币。按当时927元的币价换算,攻击者通过木马病毒非法挖矿所得超38万元,而这花费的成本并不高。
在黑产圈,名为“大灰狼”的远程控制木马是较为流行的远程控制工具,“老虎”病毒也正是通过这个远控工具,在受害者的电脑中植入病毒。
据传,“大灰狼”的原始作者已去世,但相关代码已流落黑产圈,还开源共享起来。不同的病毒木马团伙对其定制改造后,衍生出诸多变种,无形中减少了黑产团伙开发病毒的成本。
除了“灰熊”、“老虎”之外,这几年,KingMiner挖矿木马、BlueHero挖矿蠕虫病毒、“快Go矿工”等木马程序屡见不鲜。2018年底,湖南衡阳市公安局石鼓分局还曾破获一起病毒挖矿案件,某计算机专业毕业生,通过给网吧电脑装木马,远程挖矿获利上亿元。
在社交网络发达的今天,人们每天都会接触大量的信息,一不小心,就可能成为黑客的“挖矿苦力”。当你发现电脑突然出现严重卡顿的异常,你的电脑很可能在为别人紧锣密鼓地创造不当利润。
安全专家提示,互联网用户不要随意打开来历不明的文件。在点开文件之前,建议打开资源管理器文件夹选项,“查看已知文件的扩展名”。当发现文件图标为Office、音乐、视频文件,而文件的扩展名为“exe、com、pif、bat”时,即可立刻判断为危险文件,应立即删除,并使用杀毒软件查杀。
区块链和数字货币的兴起,让“挖矿”成为一个新兴产业且逐渐繁荣。利益往往容易滋生罪恶,挖矿木马、黑客盗币、暗网交易等事件层出不穷,“黑产”也是这个新兴行业的“硬币背面”。
业内人士呼吁,在新技术、新行业初生之时,行业参与者应共同提升安全技术储备,共同抵制黑客、黑产的作恶行为;专业的安全团队不妨成立安全联盟,向大众普及基本的网络安全常识,加强对新病毒的公示和预警,以免不了解加密货币的公众沦为挖矿的“黑劳工”。
声明:此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。本网站所提供的信息,只供参考之用。
