由于单设备的“挖矿”产量有限，别有用心的人将目标瞄向了网络上的NAS设备。此前我们曾报道过多起针对群晖（Synology）NAS产品的恶意/勒索软件，但现在也有一款名叫Mal/Miner-C的恶意软件变种（又称PhotoMiner）被发现将目光瞄向了联网的希捷NAS设备。该恶意软件会借助这个跳板来感染与之相连的计算机，然后偷偷地“挖掘”Monero数字货币。

Miner-C又称PhotoMiner，出现时间在2016年6月份。当时有报道称其针对FTP服务器，试图通过一整套默认的用户名/密码列表，强行将自身散播到新的机器（蠕虫特性）。

在最新的Miner-C版本中，同样的功能仍然存在，但Sophos安全研究人员表示：近期迭代的Miner-C，利用了Seagate Central NAS设备上的一个缺陷，来将自身复制到公共数据文件中。

NAS设备可简单理解为“联网的硬盘驱动器”，允许用户通过本地网络访问文件（但也有部分设备支持开启互联网远程访问）。

据Sophos所述，Seagate Central设备包含了一个允许所有用户访问的公共文件夹，甚至连匿名用户都可以免登陆访问，而且无法禁用或删除。

Miner-C会将自身复制到所有可以查找到的希捷中央NAS设备的公共文件夹上，其中就包括一个伪装成照片文件夹的“Photo.scr”（后缀名表明它其实是一个被恶意代码篡改过的屏保文件）。

由于Windows有着默认隐藏文件扩展名的坏习惯，披着“正经文件夹图标外衣”的恶意脚本很容易被用户错误地执行。

当用户尝试访问该‘文件夹’的时候，实际上运行的是‘Photo.scr’这个恶意文件，最终其计算机被安装上了虚拟货币的挖矿软件（本例中为Monerro）。

Monero是当前颇能盈利的一款‘数字货币’，矿工和黑客们选它为目标也是理所当然。当然这个行业总会遇到瓶颈，比如基于PC硬件的比特币挖矿早在2012年就变得无利可图了。

研究人员发现有7000多台希捷中央NAS设备连上了互联网，这意味着黑客可能已经感染了其中约5000台设备。

由于所有采集到的Monerro数字货币都被存在恶意软件的配置文件中，Sophos得以预估其获利或已达7.66万欧（8.64万美元），约占整个Monero挖矿活动的2.5%。