加密虛擬貨幣近來持續引起許多騷動。雖然部分政府致力於管理相關交易,但也有一些政府希望完全停止相關挖礦活動。趨勢科技注意到網路犯罪者持續積極參與加密貨幣挖礦惡意程式活動,包括入侵消費者的硬體圖形處理器 (GPU),以及利用使用者的行動裝置。
俗話說,犯罪總是離不開錢財,網路犯罪者的行為再次印證了這個說法。地下世界充滿了許多加密虛擬貨幣惡意程式,犯罪者肯定很難判斷哪個最有利可圖。此類惡意程式亦稱為挖礦惡意程式 (cryptomalware),其目標明確,就是要從加密虛擬貨幣交易中獲利。這可以透過兩種方式達成:竊取加密貨幣,以及偷偷地在受害者的裝置上進行加密虛擬貨幣挖礦,此程序亦稱為挖礦綁架。在本文中,我們將討論這兩種方式如何運作,以及研究連接至物聯網(IoT ,Internet of Thing) 的裝置 (運算能力相對較低) 是否會成為目標。
「虛擬貨幣挖礦惡意程式」與「虛擬貨幣竊取惡意程式」的運作方式
如同一般惡意程式,挖礦惡意程式也可能採取不同的形式,包括用戶端網頁指令碼以及行動應用程式等。隨著線上服務的普及,挖礦過程變得更加容易,值得注意的是,我們發現以 JavaScript 撰寫的網頁型用戶端加密貨幣挖礦惡意程式有所增加。
不過,這項威脅並不限於電腦。幾乎任何連接網際網路的裝置都可能成為挖礦殭屍網路的一部分。犯罪者只需要能夠實現此目標的程式碼,而且他們早已進行開發,本文稍後就會說明。
一般加密虛擬貨幣挖礦惡意程式的手法如下:
- Dropper 程式碼透過指令碼或適當的可執行檔,未經受害者同意而執行於受害者的裝置上 (如同任何其他惡意程式)。為達到此目的,網路犯罪者會攻擊防備不足的電腦基礎設施、進行網路釣魚詐騙,或惡意利用瀏覽器擴充功能、行動應用程式及即時傳訊等工具。
- 挖礦程式碼執行於受害者的裝置,並開始利用其運算能力來計算雜湊。此時,受害者可能會注意到裝置效能降低,如果是電腦,風扇會為了降溫而發出較大的噪音。
挖礦程式碼執行於受害者的電腦,風扇會為了降溫而發出較大的噪音。 - 計算結果送回攻擊者或直接送至線上採礦池,無論是否惡意 (專門設置用於支持網路犯罪)。接下來,攻擊者將結果轉換為加密貨幣。
