E安全6月22日讯,目前,一众恶意软件作者正在利用美国NSA一款黑客工具以感染Windows计算机,借此传入一款新的加密货币采矿程序。此次发现的木马通用名为Trojan.BtcMine.1259,由俄罗斯反病毒供应商Dr. Web公司于上周所正式公布。
这款木马利用一款名为双脉冲星的NSA植入程序感染各类运行有非安全SMB服务的计算机。这一植入程序(NSA专用词汇,用以指代恶意软件)属于一类简单后门,允许攻击者在受感染设备上执行各类代码。
此轮攻击幕后的操纵者利用双脉冲星在用户设备之上下载通用型恶意软件加载程序。这一“恶意软件加载程序”的目的在于检查用户PC设备上的最低计算核心线程数量。
如果受感染计算机拥有充足的CPU资源,则该通用恶意软件加载程序即会下载实际有效载荷——即加密货币采矿程序本体。
用于门罗币采矿的木马根据安全专家介绍,这种木马中集合有多种资源库,包括Gh0st RAT部分代码,并利用其实现与C&C服务器间的通信以及本地系统查看。举例来说,当用户启动任务管理器这一Windows工具时,该木马能够利用RAT将自身暂时关闭。
为了覆盖更为广泛的攻击目标,该木马还具备32位与64位两种版本,并可根据实际硬件资源选择不同的配置方案。
欺诈分子利用Trojan.BtcMine.1259采集的为门罗币——这种加密货币近年来正在逐渐取代比特币,并成为大多数加密货币矿工群体中的实质性通用货币。作为这种趋势中的实际表现之一,EternalMiner恶意软件能够利用Linux服务器进行门罗币采矿工作。EternalMiner于上周被发现,其利用SambaCry安全漏洞对服务器加以感染。
双脉冲星 感染量有所下降尽管不少人会将双脉冲星与WannaCry勒索软件的爆发联系起来——后者将此项漏洞作为自我传播SMB蠕虫病毒的组成部分——但在此之前,即出现过其它利用该漏洞的恶意软件活动。
今年4月,就在影子经纪人组织公布双脉冲星漏洞后不久,即有欺诈人员利用其感染了近10万台计算机设备。
上周,Shodan公司创始人约翰-马瑟利(John Matherly)表示这一数字已经下降至16000多台Windows设备。他将这一迹象归结于用户进行系统更新并安装MS17-010补丁。
双脉冲星设备感染量变化形势图