新闻快讯
< >

黑客利用NSA恶意软件感染Windows设备挖矿

E安全6月22日讯,目前,一众恶意软件作者正在利用美国NSA一款黑客工具以感染Windows计算机,借此传入一款新的加密货币采矿程序。此次发现的木马通用名为Trojan.BtcMine.1259,由俄罗斯反病毒供应商Dr. Web公司于上周所正式公布。

黑客利用NSA恶意软件感染Windows设备挖矿-E安全

这款木马利用一款名为双脉冲星的NSA植入程序感染各类运行有非安全SMB服务的计算机。这一植入程序(NSA专用词汇,用以指代恶意软件)属于一类简单后门,允许攻击者在受感染设备上执行各类代码。

此轮攻击幕后的操纵者利用双脉冲星在用户设备之上下载通用型恶意软件加载程序。这一“恶意软件加载程序”的目的在于检查用户PC设备上的最低计算核心线程数量。

如果受感染计算机拥有充足的CPU资源,则该通用恶意软件加载程序即会下载实际有效载荷——即加密货币采矿程序本体。

用于门罗币采矿的木马

根据安全专家介绍,这种木马中集合有多种资源库,包括Gh0st RAT部分代码,并利用其实现与C&C服务器间的通信以及本地系统查看。举例来说,当用户启动任务管理器这一Windows工具时,该木马能够利用RAT将自身暂时关闭。

为了覆盖更为广泛的攻击目标,该木马还具备32位与64位两种版本,并可根据实际硬件资源选择不同的配置方案。

欺诈分子利用Trojan.BtcMine.1259采集的为门罗币——这种加密货币近年来正在逐渐取代比特币,并成为大多数加密货币矿工群体中的实质性通用货币。作为这种趋势中的实际表现之一,EternalMiner恶意软件能够利用Linux服务器进行门罗币采矿工作。EternalMiner于上周被发现,其利用SambaCry安全漏洞对服务器加以感染。

双脉冲星 感染量有所下降

尽管不少人会将双脉冲星与WannaCry勒索软件的爆发联系起来——后者将此项漏洞作为自我传播SMB蠕虫病毒的组成部分——但在此之前,即出现过其它利用该漏洞的恶意软件活动。

今年4月,就在影子经纪人组织公布双脉冲星漏洞后不久,即有欺诈人员利用其感染了近10万台计算机设备。

上周,Shodan公司创始人约翰-马瑟利(John Matherly)表示这一数字已经下降至16000多台Windows设备。他将这一迹象归结于用户进行系统更新并安装MS17-010补丁。

黑客利用NSA恶意软件感染Windows设备挖矿-E安全

 双脉冲星设备感染量变化形势图

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。