COIN:木马来袭，五千台电脑沦为挖矿“黑劳工”_OIN

文：凯尔

来源：蜂巢财经

编者注：原标题为《五千台电脑沦为挖矿“黑劳工”！》

加密货币业兴起，不但带来一个新兴市场，也引诱来唯利是图的黑产团伙，其中之一是挖矿木马。

近日，腾讯安全御见威胁情报中心发文称，他们检测到通过社会工程术传播的“老虎”挖矿木马。攻击者将远控木马程序伪装成“火爆新闻”、“内容”等文件名，在网络上大肆传播，不慎点击者便会立即中招，电脑变得异常卡顿，沦为给黑产团伙挖矿的苦力。

据统计，“老虎”木马已感染超过5000台电脑。通过溯源发现，“老虎”的前身为2018年出现的“灰熊”木马，当时“灰熊”曾感染近10万主机，通过挖门罗币，获取了至少38万元的非法收入。

除了“灰熊”、“老虎”外，KingMiner、BlueHero、“快Go矿工”等木马挖矿程序屡见不鲜。有安全人士透露，由于部分木马已在黑产圈开源，作恶成本降低，病危害加剧，每个人都可能成为“受害者”。

Sysrv-hello僵尸网络集木马、后门、蠕虫于一身，攻击Linux、Windows主机挖矿:腾讯安全威胁情报中心检测到Sysrv-hello僵尸网络对云上Nexus Repository Manager 3存在默认帐号密码的服务器进行攻击。得手后再下载门罗币矿机程序挖矿，同时下载mysql、Tomcat弱口令爆破工具，Weblogic远程代码执行漏洞（CVE-2020-14882）攻击工具进行横向扩散。其攻击目标同时覆盖Linux和Windows操作系统。

Sysrv-hello僵尸网络挖矿前，恶意脚本还会尝试结束占用系统资源较多的进程，以独占系统资源，这一行为可能造成企业正常业务中断。CVE-2020-14882漏洞由Oracle 2020年10月21日发布公告修复，属于较新的漏洞攻击工具，因部分企业漏洞修复进度较慢，使得该团伙的攻击成功率较高。

该僵尸网络于2020年12月首次被国内安全研究人员发现，由于具备木马、后门、蠕虫等多种恶意软件的综合攻击能力，使用的漏洞攻击工具也较新，仅仅用了一个多月时间，该僵尸网络已具有一定规模，对政企机构危害较大。[2021/1/21 16:42:37]

业内人士呼吁，在发展加密货币行业之时，行业建立者也应共同抵制作恶行为，加强安全普及，提升安全系数。

RunMiner挖矿木马团伙使用新增漏洞武器攻击云主机挖矿:腾讯安全云防火墙检测到RunMiner挖矿木马团伙使用新增漏洞武器攻击云主机挖矿：利用weblogic反序列化漏洞（CVE-2017-10271）对云主机发起攻击，攻击得手后，会下载、执行恶意脚本尝试对Linux、Windows双平台植入挖矿木马，进行门罗币挖矿操作。

RunMiner挖矿木马挖矿前会尝试卸载云主机安装的防护软件，并尝试结束其他占系统资源较高的进程，以清除可能存在的挖矿木马竞争对手。RunMiner挖矿木马团伙的攻击活动会严重影响云主机性能，干扰政企机构正常业务运行。（腾讯安全威胁情报中心）[2021/1/19 16:32:14]

木马来袭，五千台电脑秒变“矿机”

公司文员赵路不耐烦地点击、移动鼠标，可鼠标箭头压根不听使唤，在电脑屏幕上龟速移动，画出一道道重影。

前一天，电脑还好好的，突然“变成了砖”，赵路很着急。他打开资源管理器，发现CPU占用率达到了97%，他并没有运行什么大型软件，反复重启多次，问题仍未解决。

“永恒之蓝下载器木马”新增钓鱼邮件传播 利用用户机器挖矿门罗币获利:近期腾讯安全威胁情报中心检测到“永恒之蓝下载器木马”新增钓鱼邮件传播功能。“永恒之蓝”下载器木马在感染用户机器上运行后，会自动当前用户的邮箱通讯录并发送附件为urgent.doc的文档，该文档附带CVE-2017-8570漏洞（Office高危漏洞，又称沙虫二代）攻击代码。如果被攻击用户收到邮件并不慎打开文档，就可能触发漏洞执行Powershell命令下载mail.jsp。mail.jsp经过高度混淆，多次解密后可以看到其安装多个计划任务下载Powershell脚本执行，并使用了新的计划任务名：“Bluetea“蓝茶。“永恒之蓝”下载器木马自出现之后从未停止更新，从最初的PE样本攻击到后来转移为以Powershell无文件攻击方式躲避查杀，并且通过安装多个类型的计划任务进行持久化。在传播方式上，最初通过供应链攻击积累一批感染机器后，又不断利用”永恒之蓝”漏洞,MSSql爆破，$IPC爆破，RDP爆破等方法进行扩散传播，近期又增加了DGA域名攻击和钓鱼邮件攻击，其最终目的只为利用用户机器挖矿门罗币获利。（腾讯御见）[2020/4/3]

遭遇电脑系统严重卡顿的赵路并不知道，此时电脑高速运转的CPU，正在进行大量计算来“挖矿”。这是一个离他认知有一些距离的产业——加密货币挖矿。在近十年的时间，该产业在一个还算不得庞大的币圈里流行。

动态 | 2018年Ｑ3季度安全报告：在第一大木马类病中 挖矿类占4.38%:腾讯反病实验室今日发布2018年Ｑ3季度安全报告。2018年Q3季度根据获取到的病样本分析，从病种类上，木马类占总体数量的57.67%，始终是第一大种类病。而在木马类病中，挖矿类占4.38%；从木马拦截量上看，挖矿类病占2.34%。[2018/11/1]

与赵路有相同遭遇的人不在少数。他们分布在北京、广东、上海、河南、山东等地，手中的一台台电脑开机即挖矿，挖来的币则落入了黑产团伙的钱包。

这些电脑感染了近期流行的一种木马病。腾讯安全御见威胁情报中心通过层层解剖发现，黑产团伙挖矿使用的自建矿池包含字符“laofubtc”，因此，他们将其命名为老虎挖矿木马。据腾讯御见统计，截至12月5日，老虎挖矿木马已感染超过5000台电脑。攻击者将远控木马程序伪装成“火爆新闻”、“内容”、“隐私资料”、“技巧”等文件名，通过社交网络发送到目标电脑，受害者双击查看文件后，会立刻被安装远程控制木马。

腾讯捕获俄罗斯“全能挖矿木马”:近日，腾讯御见威胁情报中心监测到一款来自俄罗斯的挖矿木马，正通过Windows、Office等软件注册机、破解工具大肆传播。除了挖矿外，该木马还会泄露用户隐私、窃取加密货币钱包信息，甚至还能远程控制中电脑发起DDoS攻击，可称为病界的“全能选手”。据腾讯御见威胁情报中心监测数据显示，该挖矿木马已入侵全球至少40多个国家的数万台电脑设备，影响范围正在进一步扩大。目前腾讯电脑管家已率先拦截并查杀该挖矿木马，并提醒广大用户加强防御。[2018/5/17]

而后，攻击者通过远控木马控制中电脑，下载挖矿木马，这些电脑随即沦为“矿工”。

从手法上看，这是一场在社交网络上传播的无差别攻击。

腾讯御见总结了部分钓鱼攻击文件名，包括“某公司被袭击”、“小姐姐视频”、“会员资料”及“变声器”等。这些抓人眼球的文件名全部与加密货币行业没有直接关联，中电脑的主人在出于猎奇心理点击后，就可能成为帮助黑产团伙赚钱的“黑劳工”。

部分钓鱼攻击文件名

腾讯御见披露，病攻击者非常狡猾。在挖矿木马文件植入电脑后，该文件将伪装成音频设备公司“WavesAudio”，首次执行后，会用垃圾数据“增肥”到150MB，以此逃避杀软件检测。

矿机程序文件则被伪装成显卡制造商英伟达的驱动程序。一般来说，电脑用户都认为英伟达的驱动是安全且必要的，不会随意删除，因此很难识破和处理。

目前，尚未得知上述黑产团伙通过“老虎木马”挖的是什么币。尽管该挖矿程序中出现了“laofubtc”字符，但加密行业人士认为，用电脑CPU挖比特币的可能性不大，“现在早就过了电脑挖比特币的时代，5000多台电脑组成的分布式矿池，可能还不如几十台好的矿机。”

“灰熊”变异，黑产团伙作恶不断

腾讯御见溯源查询发现，“老虎”挖矿木马的文件服务器baihes.com指向的IP为46.4.156.44。该IP在2018年就引起过安全人士的注意，当时一个名为“灰熊”的挖矿木马BearMiner，其域名miner.gsbean.com也与上述IP直接相关。

腾讯御见推测，“灰熊”和“老虎”属于同一团伙,“老虎”替代“灰熊”挖矿木马，呈现了新的活跃趋势。

2018年7月，深信服安全专家首次曝光了“灰熊”挖矿病。“灰熊”伪装的方式与“老虎”异曲同工，能绕过主流的杀软件，并且潜伏数月。

“灰熊”的危害性更强，据深信服统计，“灰熊”感染的主机近10万台，中主机多表现为异常卡顿，严重影响主机性能。

深信服将该病的危害等级划分为“高危”，查杀难度为“难”。据披露，当时“灰熊”挖的币主要是匿名币门罗币。与比特币不同，门罗币的挖矿门槛低，且容易上手，使用家用电脑便可通过CPU和显卡来挖矿。

此外，由于所有的门罗交易都使用隐蔽地址来保护接收者的隐私，以致黑产团伙挖得的币，难以追踪去向。

根据深信服去年7月份的统计数据，“灰熊”病在当时挖了420个门罗币。按当时927元的币价换算，攻击者通过木马病非法挖矿所得超38万元，而这花费的成本并不高。

在黑产圈，名为“大灰狼”的远程控制木马是较为流行的远程控制工具，“老虎”病也正是通过这个远控工具，在受害者的电脑中植入病。

据传，“大灰狼”的原始作者已去世，但相关代码已流落黑产圈，还开源共享起来。不同的病木马团伙对其定制改造后，衍生出诸多变种，无形中减少了黑产团伙开发病的成本。

除了“灰熊”、“老虎”之外，这几年，KingMiner挖矿木马、BlueHero挖矿蠕虫病、“快Go矿工”等木马程序屡见不鲜。2018年底，湖南衡阳市局石鼓分局还曾破获一起病挖矿案件，某计算机专业毕业生，通过给网吧电脑装木马，远程挖矿获利上亿元。

“老虎”病入侵示意图

在社交网络发达的今天，人们每天都会接触大量的信息，一不小心，就可能成为黑客的“挖矿苦力”。当你发现电脑突然出现严重卡顿的异常，你的电脑很可能在为别人紧锣密鼓地创造不当利润。

安全专家提示，互联网用户不要随意打开来历不明的文件。在点开文件之前，建议打开资源管理器文件夹选项，“查看已知文件的扩展名”。当发现文件图标为Office、音乐、视频文件，而文件的扩展名为“exe、com、pif、bat”时，即可立刻判断为危险文件，应立即删除，并使用杀软件查杀。

区块链和数字货币的兴起，让“挖矿”成为一个新兴产业且逐渐繁荣。利益往往容易滋生罪恶，挖矿木马、黑客盗币、暗网交易等事件层出不穷，“黑产”也是这个新兴行业的“硬币背面”。

业内人士呼吁，在新技术、新行业初生之时，行业参与者应共同提升安全技术储备，共同抵制黑客、黑产的作恶行为；专业的安全团队不妨成立安全联盟，向大众普及基本的网络安全常识，加强对新病的公示和预警，以免不了解加密货币的公众沦为挖矿的“黑劳工”。

互动时间

你遭遇过挖矿木马吗？

标签：COINOINBITCMEXcoinone被过程coinw官网Bitcoin Mining Power UnionMEXP币

币赢热门资讯