WebCobra恶意软件利用受害者的电脑来挖掘加密货币

144
作者 blockxiaobai
字数 6982 阅读 2998评论 0

加密货币的兴起引起了许多关注。主要的担忧似乎是监管和加密入侵,但一种被称为“加密劫持”的新威胁已经出现。

加密劫持是一个非法的过程,黑客劫持用户的计算能力,以挖掘加密货币,如比特币和monero。然后资金被发送到控制软件的黑客手中。

感染了加密劫持恶意软件的计算机运行速度慢得多,受害者甚至不知道他们的计算机正在受到攻击,因为“硬币挖掘”恶意软件很难被发现。一旦某台机器被入侵,恶意应用程序就会在后台默默运行,而特征只有一个:性能下降。随着恶意软件增加了功耗,机器会慢下来,同时给主人带来一份不受欢迎的账单,因为开采比特币所需的能量可能在531美元到26170美元之间。

虽然加密劫持是一个相对较新的威胁,但最近来自网络威胁联盟(CTA)的一份报告显示,今年非法加密劫持的比率大幅上升了459%。根据McAfee Labs 9月发布的一份报告称,在2017年第四季度增长了40万左右之后,2018年第1季度,新的加密挖掘恶意软件样本增加了629%,超过了290万个。这一趋势在第二季持续,总样本量增加了86%,发现了超过250万个新样本。

一个新的沉默杀手:WEBCobra

McAfee实验室的研究人员现在已经发现了一种新的俄罗斯加密劫持恶意软件名为“WebCobra”。根据WebCobra发现的架构,WebCobra通过悄悄地删除并安装Cryptonight矿工或Claymore的Zcash矿工来感染受害者的计算机。McAfee的研究人员认为,这种威胁是通过流氓PUP安装程序来实现的,并且已经在全球范围内监测到了,其中感染人数最多的是巴西、南非和美国。

虽然McAfee的研究人员并不完全确定这种威胁是如何传播的,但WebCobra恶意软件的独特之处在于它尽一切可能了解受害者的系统。

首席科学家兼麦克菲研究员Raj Samani告诉我:“WebCobra特别有趣的一点是,它可以了解用户系统的所有信息,比如他们运行的是什么样的架构,是否有杀毒技术等等。这种加密货币挖掘恶意软件也是不常见的,因为它根据受感染的机器的配置而发送不同的矿工。例如,主要的病毒释放器是一个Microsoft安装程序,它检查运行的环境。在x86系统上,它将Cryptonight 矿工代码注入到正在运行的进程中,并启动一个进程监视器。在x64系统上,它检查GPU配置,并从远程服务器下载和执行Claymore的Zcash挖掘器“。

启动后,WebCobra恶意软件将删除并解压缩带有密码保护的Cabinet存档文件:

用于解压缩已删除文件MCAFEE RESEARCH的命令

Samani 说:“WebCobra是一个令人讨厌的感染病毒-一旦你被感染,你甚至发现不了。如果您的计算机上没有更新的安全软件,并且它运行缓慢,您可能甚至不知道原因。有了ransomware(勒索软件),屏幕上通常会有一个大水花,告诉你你的电脑已经被感染了。WebCobra是一种感染,它悄悄地在后台使用您的计算资源“。

不断上涨的加密货币价格助长了加密劫持

McAfee的研究人员还发现,加密劫持的上升,特别是在WebCobra的情况下,与加密货币价格的上升是有关系的。加密货币价值的增加促使网络罪犯利用恶意软件窃取机器资源,在没有受害者同意的情况下开采加密货币。

例如,下面的图表显示了矿工恶意软件的流行是如何随着Monero加密货币价格的变化而变化的:


Samani 说:“加密劫持的发展与加密货币的价格紧密相关。随着数字货币的价格不断上涨,人们自然会更想开采。在上图的例子中,当Monero的价格上升时,您会看到挖掘恶意软件的增长。随着Monero的价格下降,你会看到恶意软件的反应。随着数字货币价值的增加,我们看到了加密劫持的增加“。

有组织的犯罪

虽然消费者似乎最清楚加密劫持,但这种形式的有组织犯罪也正在影响政府和企业。

Samani解释道:“加密劫持不仅针对消费者,但还针对企业。如果您是在云环境中支付处理能力的费用,那么这也会有直接的成本。总的来说,这只是一个数字游戏。黑客感染的系统越多,他们赚的钱就越多。如果您正在运行一个加密劫持活动,那么您很可能并不在意这些人和企业来自何处。人们还需要明白,这不仅仅是你的电脑变慢的问题,实际上从长远来看,这将会花费你的钱。我们说的是有组织的犯罪团伙经营这些骗局,使加密劫持成为受害者帮助提供燃料的有组织犯罪的一种形式“。

最近,研究人员发现,黑客盗取了数家印度政府网站的处理能力,并将其用于加密货币开采。安得拉邦市政府、蒂鲁帕蒂市公司和马切拉市等公民门户网站被发现感染密码劫持恶意软件的印度网站有数百个之多。尤其是政府网站,由于高流量和人们倾向于信任这些网站,所以很容易被窃取。

加密劫持也是针对企业系统的。PublicWWW发现有超过100个站点运行Coinhive javascript,开采Monero硬币。同样的脚本已经感染了超过20万的ISP级路由器,并且是网站上最重要的三个加密挖掘恶意软件之一。


此外,在某些情况下,加密劫持的目标是特定群体,而不是潜在广泛领域的受害者。在俄罗斯的一个论坛上,一个加密劫持恶意软件攻击玩家,冒充“国防部”,声称要增强流行游戏。游戏玩家被骗下载恶意软件,然后利用他们的电脑资源获利。

而当加密挖掘恶意软件主要针对PC机时,其他设备也成为受害者。例如,中国和韩国的Android手机一直被ADB.Miner恶意软件利用,为其犯罪者生产Monero加密货币。

保护自己免受加密劫持

不幸的是,随着网络罪犯利用这一相对简单的途径来盗取价值,硬币挖掘恶意软件将继续发展。在别人的系统上开采硬币比勒索软件需要更少的投资和风险,并且不依赖于同意汇款的受害者的比例。在用户知道他们是支持犯罪矿工之前,他们能获取很多利益。

然而,可以采取一些步骤来保护系统免受加密采矿恶意软件的感染。根据Samani的说法,没有任何形式安全的系统更容易受到黑客攻击。

这里必须有良好的网络卫生。例如,不要点击随机链接,就已知的挖掘软件而言,更新安全软件是至关重要的。还有一些其他可以帮助你的,比如浏览器增加扩展,可以检测CPU使用中的异常负载。然而,WebCobra病毒是偷偷摸摸进行的。当然,如果您的计算机运行缓慢,这并不意味着您已经成为加密挖掘的受害者,但是您需要正确的技术来识别这个问题。


区块链
登录 后发表评论