趨勢科技架設的某個誘捕環境在一個遭到入侵的網站 (hxxps://upajmeter[.]com/assets/.style/min) 上偵測到虛擬加密貨幣挖礦攻擊。歹徒在該網站上插入一些指令來下載其主要指令列腳本 (shell script),也就是趨勢科技偵測到的 Trojan.SH.MALXMR.UWEJS。這個挖礦程式由多個元件所組成,包括不同的 Perl 和 Bash 腳本、二進位檔案、應用程式隱藏工具 Xhide 以及一個掃瞄工具。此挖礦程式在散布時會掃瞄電腦是否含有某些漏洞,且會利用暴力登入方式 (主要是使用預設的登入帳號和密碼) 來入侵電腦。
根據我們對該威脅的分析顯示,惡意檔案會在一天當中執行多次,定期將受感染電腦的最新狀況回報給幕後操縱 (C&C) 伺服器。感染過程當中使用的指令列腳本也會下載一些包含其掃瞄工具、執行程序隱藏工具,以及最終惡意檔案的壓縮檔。
除此之外,這項威脅還會利用一個執行程序隱藏工具來隱藏挖礦程式的二進位檔案,讓一般使用者更不容易注意到歹徒的挖礦活動,頂多只會發現電腦效能變慢,以及某些可疑的網路流量。這是歹徒用來掩蓋其掃瞄、暴力登入與挖礦活動的一種已知手法。
繼續閱讀
