5月17日,Canthink网络安全攻防研究所
发现了一个大规模的恶意软件活动,且在短短三天内使超500000个币民受害。
据悉,这项运动以Windows计算机为目标,它的核心是一款名为WinstarNssmMiner的新型恶意软件。WinstarNssmMiner是目前典型的加密货币挖矿恶意软件,基于开源和合法的门罗币(Monero)挖掘工具XMRig。
虽然Canthink研究人员并没有说明WinstarNssmMiner是如何传播的,但他们表示,这是当今市场上活跃的加密货币挖矿活动所特有的,典型的WinstarNssmMiner模式操作如下:
如果用户检测到隐藏的挖掘操作并尝试关闭与XMRig关联的svchost.exe进程,则恶意软件会使用户的PC崩溃,然后该PC就需重启。这是因为恶意软件将svchost.exe进程的属性设置为“CriticalProcess”,因此Windows在恶意进程终止时会关闭PC。
据Canthink研究人员介绍,这个恶意软件团队已利用WinstarNssmMiner成功挖出了133个门罗币,价格约为28000美元。
此外,Canthink研究人员还发现了一个与之完全相反加密货币挖矿(coinminer)活动——IdleBuddyMiner,它不是在受感染的主机上偷偷摸摸地开采Monero,而是通过弹出窗口请求许可。
由IdleBuddyMiner显示的弹出窗口
值得注意的是,Canthink安全团队还发现了第三次采矿活动,这个活动通过一个已知的PUP——“One System Care”(一个隐藏在清理缓存程序中的工具)传播。
分享到:
閱讀更多 網絡安全焦點 的文章
