研究人员发表了一份新的报告,他们认为这是一个“凶残”的加密货币挖矿僵尸网络正隐藏在看似无害的网络内容中,比如泰勒·斯威夫特的照片。

12月18日,SophosLabs(知名网络安全研究机构)的Gabor Szappanos发布消息称,最臭名昭著的僵尸网络MyKings(或称作DarkCloud或Smominru)自2016年以来一直很活跃。

虽然说互联网上所有的“没有打好补丁的弱鸡”(引自Sophos的表述)历来都是被攻击对象,但最近MyKings黑客组织据称又新增了Bootkit功能,这使得它更难被发现和有效杀掉。

迄今为止,MyKings组织非法挖掘的加密货币已经价值300万美元

SophosLabs的报告全面介绍了僵尸网络的运作方式,Szappanos将其描述为一个“凶残的冗余攻击者(即不断重复攻击)”,主要攻击基于Windows的网络,这些网络往往运行着数据库管理系统,如MqSQL和MS-SQL、类似Telnet的网络协议,甚至还有些运行着闭路电视视频存储设备的服务器。

报告指出,僵尸网络的始作俑者似乎更喜欢使用开源软件或其他公开的软件,并且非常擅长自定义和改进源代码,以便于在其中插入可执行攻击和自动更新程序的木马程序组件。

僵尸网络对服务器发起一系列攻击,目的就是在其上面安装一个木马程序,通常是一个名为“Forshare”的特洛伊木马,这是在被感染服务器上最常见的一种木马程序。

该木马的主要任务是确保各种不同的门罗币挖矿程序(XMR)在目标硬件上运行,SophosLabs估计僵尸网络运营商到目前为止在门罗币挖矿上的非法收入约为300万美元。这意味着,由于加密货币最近的相对估值较低,目前他们每天的收入约为300美元。

她可能不是你看起来的那般甜美

来源: SophosLabs Uncut Report

在一个被破译的木马样本中,一张被上传到网络上的知名女歌星泰勒·斯威夫特(Taylor Swift)的经过隐秘修改的照片,其中就隐藏了一段可执行文件的代码,用户一旦下载这张照片,就会自动在本地电脑启动僵尸网络。

SophosLabs的研究揭示了MyKings顽固存在的本质原因,即它通过运行一个集成多个重复执行和自我更新脚本的程序来使自己实现永生不灭。

“即使僵尸网络的大部分木马组件已经从计算机中被清除,其余的组件也有能力通过自带的更新程序来将其恢复到满血状态。所有这些都是使用自解压RAR文档和Windows批处理文件进行编译的。”

报告指出,目前感染者最多的国家是中国、台湾、俄罗斯、巴西、美国、印度和日本。

与门罗币相关的犯罪活动

去年11月,Cointelegraph报道称,Monero官方网站getmonero.org上可供用户下载的软件一度被黑,下载该软件的用户瞬间被黑客席卷了钱包里所有的资产。

同一个月,斯洛伐克杀毒软件公司Eset透露,有一伙网络黑客正在通过Youtube传播一个名为Stantinko的木马,以此来操纵这个僵尸网络进行门罗币挖矿。