勒索软件爆发已经有一段时间了,但是突然之间我们注意到了这一趋势的变化。似乎特别是对于比特币而言,加密货币估值中观察到的上升正在使攻击者追赶 加密货币 矿业。加密货币矿工恶意软件已成为网络犯罪分子的热门攻击媒介。通过查看当前的采矿复杂性,需要一个计算机采矿池来有效地开采加密货币。为此,网络犯罪分子正在攻击最终用户’具有矿工恶意软件的计算机,旨在创建矿池。这种类型的挖掘攻击可以称为 分布式采矿.
在这篇博客文章中,我们将讨论正在进行的针对挖矿加密货币的分布式挖矿活动,称为 门罗。门罗币(XMR)是2014年4月推出的一种开源加密货币。加密货币挖掘需要强大的计算能力。网络罪犯正在滥用最终用户设备的处理能力来挖掘目标加密货币。为了实现这一目标,黑客正在破坏几个主要托管在WordPress上的网站,以提供Monero矿工。
根据Quick Heal 安全 Labs收到的遥测数据,受感染的网站包括政府,制药和教育机构的网站。
攻击链
此信息图描绘了此活动的攻击链。
在此活动中,以已知漏洞的网站为目标。一旦被利用,就会将恶意的JavaScript注入网页。当用户访问此类受感染的网站时,注入的JavaScript会诱使他们下载伪造的字体更新。执行伪造的字体更新后,它会下载Monero矿工并在用户的系统上执行。此攻击当前仅针对Google Chrome和Firefox浏览器的用户。
让我们深入探讨此攻击的各个阶段。下面的提琴手会话捕获显示了攻击顺序。 攻击顺序是某制药公司的受感染网站的攻击顺序.
执行时注入的JavaScript会弹出一个窗口来更新字体。该分析是在Google Chrome浏览器上进行的,在此过程中我们看到了一个弹出窗口,用于更新“ Chrome Font Pack”。图3.显示了弹出窗口。
单击更新按钮时,它将在屏幕上弹出说明页面。它还会将恶意的ZIP文件下载到Google Chrome的默认下载目录。弹出窗口中显示的说明要求用户执行文件。
下载的ZIP文件(即“ ttf.zip”)包含恶意的“ ttf.js”文件。当用户点击“ ttf.js”时,它将由“ cscript.exe”执行并下载恶意可执行文件,即Monero矿工。
JavaScript分析
注入的JavaScript变得模糊。它包含一个反混淆例程和一个用Base64编码的长字符串。
对上面注入的JavaScript的混淆处理揭示了以下代码。
如图6上方所示,它将用户重定向到下面的恶意URL。
“ hxxp:// bmooc [。] net / wp-content / service / cat [。] php?m = f”。
上面的URL获取了另一个类似于下面的恶意JavaScript代码。
上面的恶意JavaScript仅在Google Chrome和Firefox浏览器上加载弹出窗口。反过来,这会提示用户下载虚假的字体更新,即“ ttf.zip”文件,并提供有关如何安装它的说明。
门罗币矿工感染后活动
成功执行后,Monero矿工将产生以下感染后流量。
在分析时,CnC服务器未按预期响应。
使用破坏已知漏洞网站的古老技巧是一种有效的大规模感染方法。该活动还利用受到感染的网站,以利用Monero矿工感染大量用户。这形成了门罗币矿工的分布式网络。为了解决挖掘数字货币的复杂工作,事实证明这种矿工池分布式网络是一种有效的工具。我们建议用户通过保持用户的安全来保护自己 防毒软件 最新的安全更新。
妥协指标
bmooc [。] net
buyorganicvisitors [。] com
47D3C7B7510F7AA962B184CBF41EF630
主题专家
普拉迪普·库尔卡尼(Pradeep Kulkarni) |快速治疗安全实验室Prashant Tilekar
没意见