作者: 趨勢科技 TrendMicro

虛擬貨幣採礦這門生意真是越來越夯，就在上個月，星巴克證實有客戶在手機連上他們阿根廷布宜諾斯艾利斯分店的 WiFi 網路之後，被駭客用來暗中開採門羅幣。除此之外， LiveHelpNow 線上即時技術支援軟體平台所使用的一個 JavaScript 檔案也被發現遭駭客植入瀏覽器專用的 Coinhive 數位加密虛擬貨幣開採程式，目前全球有數百個網站都是 LiveHelpNow 的使用者。還有另一起發生在 The Pirate Bay (海盜灣) 網站的案例，該網站被人發現會使用訪客的電腦來開採門羅幣，當成網站的額外收入來源。

最近資安研究人員發現了一個門羅幣 (Monero) 採礦惡意程式 (趨勢科技命名為 TROJ_COINMINER.JA 和 TROJ_COINMINER.JB) 的安裝程式，而開採出來的門羅幣會傳送至位於北韓金日成綜合大學 (KSU) 內的伺服器。另外，一位 Reddit 的使用者也在「TCL通訊科技控股有限公司」所持有的黑莓機 (BlackBerry) 行動網站上發現一個門羅幣採礦程式。

門羅幣 (Monero) 挖礦惡意程式，企圖將挖礦成果傳至北韓境內的大學

這個位於 KSU 的門羅幣開採程式安裝器在安裝時，會複製一個名為「intelservice.exe」的檔案到系統上，這是虛擬貨幣採擴惡意程式的 常見手法。從其程式碼看到的軟體名稱為「xmrig」，是一個專門利用 IIS 伺服器未修補漏洞來開採門羅幣的程式。

報導指出，這個惡意程式，會指示被感染的「宿主」電腦執行挖礦的電腦運算，以獲取加密貨幣「門羅幣」（Monero），並傳送到平壤的金日成大學。駭客輸入密碼KJU（有可能是金正恩Kim Jong Un的英文姓名縮寫）之後，可以獲取使用這些虛擬貨幣。

資安研究人員表示，雖然該軟體的作者是在金日成綜合大學被發現，但不代表作者是北韓人，因為金日成綜合大學會對外招生，因此有許多外國學生和講師。此外，該連結似乎也連不上，所以表示挖礦程式並無法將開採到的錢幣傳回給作者。

黑莓機官方的手機版網站含有 CoinHive 虛擬貨幣開採程式

另一方面，一位 Reddit 使用者也在貼文中指出，黑莓機官方的手機版網站含有 CoinHive 虛擬貨幣開採程式。當使用者造訪「www.blackberrymobile.com」網站時，這個挖礦程式就會使用訪客裝置的 CPU 效能來開採門羅幣，不過該網站只是目前全球受害網站之一而已。

CoinHive 也針對其服務遭到濫用而出面在 Reddit 討論串上道歉，並且表示駭客似乎是利用了 Magento 網站開發軟體 (或許還有其他軟體) 的漏洞，並且駭入了多個不同的網站。Coinhive 補充道：「我們已經將違反我們服務條款的帳號停權」。

解決方案

採用全方位的資安防護來攔截含有惡意或不肖行為的網站和腳本。趨勢科技 Smart Protection Suites 和 Worry-Free Pro皆能保護使用者與企業並偵測上述威脅與相關網址。此外，趨勢科技Smart Protection Suites  還具備高準度機器學習、網站信譽評等、行為監控、應用程式控管等功能，可有效降低這項威脅。

 

原文出處：Monero Miners Found in BlackBerry Mobile Site, North Korean University Server|

🔴延伸閱讀:趨勢科技 PC-cillin 2018 防毒軟體雲端版好強大！跟偷挖礦、勒索病毒說掰掰

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板，跨平台防護３到位

《 想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位，勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端，讓你不會錯過任何更新。
*手機版直接前往專頁首頁，下拉追蹤中，就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼