你的電腦成為他的挖礦機?! Coinhiveh採礦程式成為第六大的惡意軟體

數位貨幣採礦程式Coinhive(趨勢科技偵測為HKTL_COINMINE)在9月時為人所知,因為EITest攻擊活動用它來詐騙受害者為其服務付費或利用技術支援詐騙來取得財務資訊。而一份新的報告揭露了Coinhive的做法,將貨幣採礦程式列為世界第六常見的惡意軟體。

你的電腦成為他的挖礦機?! Coinhiveh採礦程式成為第六大的惡意軟體
你的電腦成為他的挖礦機?! Coinhiveh採礦程式成為第六大的惡意軟體

Coinhive 提供網站所有人和營運商可嵌入至網站的Javascript程式碼。這程式碼會秘密地使用網站訪客的電腦處理能力來挖掘門羅幣。這對雙方來說是種雙贏,因為 Coinhive 保留了一部分採礦成果,而網站所有人取得其餘的部分。不幸的是網站訪客不知道自己的電腦處理器在不知情下被使用。雖然 Coinhive本身是一家合法的公司,但是其相當可疑的運作模式往往造成惡意份子去加以濫用。

受感染系統實成為攻擊者的私人數位貨幣礦工

雖然數位採礦惡意軟體仍沒有其他惡意軟體(如勒索病毒)那樣的惡名昭彰和高知名度,但這份報告證實它正在快速地成長。數位貨幣採礦惡意軟體的主要吸引力之一是它們隱密且通常非侵入性。它所造成的性能下降和系統延遲可能令人不快,但使用者不太可能發現原因是採礦程式(如 Coinhive)。另外,這類型的惡意軟體也帶來很好的獲利機會,因為每個受感染系統實際上都成為了攻擊者的私人數位貨幣礦工。 Continue reading “你的電腦成為他的挖礦機?! Coinhiveh採礦程式成為第六大的惡意軟體”

海盜灣(The Pirate Bay)用採礦程式生成門羅幣(Monero)

海盜灣(TPB)或許是最熱門的種子代管網站,常被用來下載軟體和影音檔 – 許多都是非法的。不過使用者可能會付出比預期要多的代價,因為該網站被發現會利用訪客電腦來開採門羅幣(Monero)作為額外的收入。

在一篇部落格文章中,網站管理員提到他們正在測試一種JavaScript採礦程式好產生足夠收入以擺脫所有的網站廣告。該文章還提到程式碼內的一個小錯誤會導致用到訪客電腦的所有運算能力。這已經被修正到只允許使用20-30%。使用者在網站上找到指向Coinhive服務的程式碼,這是海盜灣(TPB)所使用的採礦程式。

網友對這舉動的反應很兩極,有些使用者讚許這是可以賺取更多收入的方法,而另一些使用者對於電腦資源在不知情下被使用而反感。總的來說,大多數使用者都認為海盜灣(TPB)應該在採礦程式的使用上更加透明,並給予使用者是否志願提供運算資源的選擇。

不過海盜灣(TPB)會選擇門羅幣也是件有意思的事情。數位貨幣本身是合法的,但它也被捲入最近的惡意軟體攻擊。早在五月份,Adylkuzz木馬程式(趨勢科技公司偵測為TROJ_COINMINER.WN)利用EternalBlue漏洞(跟WannaCry所用的一樣)竊占使用者資源來挖掘門羅幣。近來跟數位貨幣有關的惡意軟體一直在增加,因為相對於傳統貨幣的便利性和匿名性,讓它們成為受網路犯罪分子歡迎的目標。 Continue reading “海盜灣(The Pirate Bay)用採礦程式生成門羅幣(Monero)”

《 EITest攻擊活動》偽裝成微軟Windows通知的技術支援詐騙頁面,散佈Coinhive門羅幣採礦程式

趨勢科技發現惡名昭彰的EITest攻擊活動利用技術支援詐騙這種社交工程手法來散播JavaScript(JS)數位貨幣採礦程式(趨勢科技偵測為HKTL_COINMINE)。會冒充技術支援服務來欺詐不知情的受害者,騙他們電腦感染了惡意軟體,讓他們為這些服務付錢(或給出財務資料)。

EITest攻擊活動主要是利用受駭網站進行。它的活動可以追溯到2014年,曾經使用Angler漏洞攻擊套件來散播勒索病毒。從2017年1月起,它轉向利用“HoeflerText”(一套受歡迎的字型)網路釣魚攻擊或技術支援詐騙。在一個月的時間內,我們發現了990個受駭網站被注入惡意腳本,將潛在受害者轉向到技術支援詐騙網站。不過最近他們將Coinhive JS採礦程式加入攻擊行動,將受害者電腦轉變成門羅幣礦工。分析結果還顯示這個JS數位貨幣採礦程式跟“Pirate Bay(海盜灣)”網站上所發現的“Coinhive”JS採礦程式是同一個。

 

圖1:觀察Coinhive相關流量的時間表

註:我們看到ElTest在9月19日開始加入數位貨幣採礦(紅色圈圈處)。

圖2:EITest技術支援詐騙的受害國家分佈

 

攻擊鏈

當使用者訪問受駭網站時,網站會透過HTTP請求的使用者代理資訊來識別瀏覽器類型。如果使用者用的是Chrome瀏覽器,就會直接向網頁注入釣魚網頁腳本。我們最初的測試顯示攻擊不會影響Firefox。 Continue reading “《 EITest攻擊活動》偽裝成微軟Windows通知的技術支援詐騙頁面,散佈Coinhive門羅幣採礦程式”

惡意Chrome擴充功能竊取Roblox遊戲貨幣

資安趨勢部落格最近討論過網路犯罪份子利用玩家經常使用的新一代聊天平台: Discord,從Windows電腦上的Roblox程序竊取cookie。在那之後,我們又看到類似的竊取行為,只是這次是利用Chrome擴充功能(CRX檔案)。

雖然它目前的目標只針對擁有 1 億 7,800 萬名註冊用戶的ROBLOX遊戲使用者,但相同的技術可以用來在任何網站竊取cookie。偷來的資訊會透過Discord聊天平台發送,不過這也能夠變更成其他聊天平台。而且趨勢科技發現這個Chrome擴充功能可以只用99美分在Dream Market地下市場買到:

圖1、Roblox Trade Bot在“Dream Market”地下市場販賣(點擊放大)

 

我們取得這交易機器人內的樣本如下:ROBLOX BOT.zip、Crm5extension.crx、Roblox Enhancer.crxDankTrades.zip。第一個ZIP檔內包含一個檔案名為bgWork.js

圖2、 ZIP檔案內容

 

搜尋CRM5或bgWork.js會找到論壇v3rmillion.net。這個地下市場論壇是Roblox駭客的熱門網站。人們甚至會開始用ROBUX(Roblox遊戲內的貨幣)來交易其他工作或產品。

檢視bgWork.js會發現一個設定好的Discord網路掛接(webhook)。安裝之後,惡意軟體會透過Discord API送出竊來的Roblox cookie。在此例中,這個交易機器人擴充功能號稱會取得最近的平均價格,協助你來將ROBUX交易成別的東西。但這擴充功能實際上並不會這麼做;只會將偷來的cookie送到Discord頻道,對使用者沒有任何用處。 Continue reading “惡意Chrome擴充功能竊取Roblox遊戲貨幣”

以太幣平台 Enigma 遭攻擊並失竊近 50 萬美元

加密貨幣交易所 Enigma 遭到攻擊,就在受到高度矚目的首次貨幣發行 (ICO) 的幾週前,該公司發出警訊,表示其系統中的部分帳戶已遭到入侵。

根據報導指出,駭客藉由更改 enigma.co 網站,利用 Slack 管理員帳戶張貼訊息,並傳送垃圾郵件至該公司的郵寄清單,讓使用者將錢送至其加密錢包,共計竊取價值近 50 萬美元的以太幣。這項訊息藉由預售公告,刻意讓該公司的潛在客戶產生緊迫感。

Enigma 於 8 月 21 日在其 Twitter 帳戶上張貼聲明,提醒使用者此攻擊事件。該公司澄清,預售只能透過未來代幣簡單協議 (SAFT) 進行,它是合法交易所需要的法律文件。該公司同時澄清,實際將提供此代幣的網站並未受到影響,9 月 11 日的 ICO 將如期進行。

根據來自 reddit 的 EthTrader 子網站推測,這次事件可能源自與 Enigma CEO Guy Zyskind 的電子郵件相關的個別攻擊,導致有關 Zyskind 的電子郵件地址資訊被散佈至網站,並在後來被用於展開這項攻擊。 Continue reading “以太幣平台 Enigma 遭攻擊並失竊近 50 萬美元”

無檔案病毒攻擊: 新數位貨幣採礦病毒, 亞太區為重度感染區,台灣排名第三

無檔案病毒攻擊正變得越來越普遍。惡意份子越來越常直接在記憶體中操作,並利用合法工具或服務進行攻擊。在此次案例中,WMI被此數位貨幣採礦病毒作為無檔案持久性機制。因為沒有惡意檔案落在硬碟上,也就更加難以察覺。

 

作為無檔案持久性機制。因為沒有惡意檔案落在硬碟上,也就更加難以察覺。

無檔案病毒很難被分析和偵測。所以也並不令人驚訝地有越來越多惡意軟體利用此手法,讓偵測和鑑識都更加困難。趨勢科技最近發現一個新的數位貨幣採礦病毒:TROJ64_COINMINER.QO,也利用了此一技術。

亞太區為重度感染區,台灣排名第三

這隻病毒散播七月首次現身在亞太地區。根據趨勢科技主動式雲端截毒服務  Smart Protection Network 的統計,受此威脅最嚴重的國家前三名依次為:日本、 印尼和台灣。

圖1、2017年7月至8月的TROJ64_COINMINER.QO感染分佈

 

無檔案病毒WMI腳本加上EternalBlue 漏洞,讓此威脅更刁鑽

此威脅利用WMI(Windows管理規範)作為無檔案感染的持久性機制。具體來說,它利用 WMI Standard Event Consumer腳本程式(scrcons.exe)來執行它的腳本。為了進入系統,這惡意軟體利用了EternalBlue永恆之藍漏洞 – MS17-010。無檔案病毒WMI腳本加上EternalBlue漏洞讓此威脅變得既隱蔽又具備持久性。

TROJ64_COINMINER.QO數位貨幣採礦病毒的感染分成幾個階段。感染流程從MS17-010開始;這漏洞被用來在系統安裝和執行一個後門程式(BKDR_FORSHARE.A),它會安裝數個WMI腳本。這些腳本接著會連到C&C伺服器來取得命令和下載數位貨幣採礦病毒及其他元件。

圖2、感染流程

 

利用WMI- Windows的核心元件,達到持久性

WMI是Windows的核心元件,通常被用於日常管理工作,例如部署自動化腳本、在給定時間執行程序/程式、取得已安裝應用程式或硬體的資訊、監視資料夾內的變化和監視磁碟空間等。然而,到了網路犯罪份子手上就會被用在惡意用途,就如趨勢科技在報告了解WMI惡意軟體中所探討的那樣。這案例中所用的技術跟報告內提到的樣本(我們偵測為TROJ_WMIGHOST.A)非常類似。

下面類別在滿足特定條件後會用來觸發惡意WMI腳本:

  • ActiveScriptEventConsumer
  • __EventFilter
  • __IntervalTimerInstruction
  • __AbsoluteTimerInstruction
  • __FilterToConsumerBinding

 

惡意WMI腳本可以從ROOT\subscription名稱空間底下的ActiveScriptEventConsumer類別找到。 ActiveScriptEventConsumer是持久性有效載荷,包含了當條件滿足時會執行的命令。在此例中,它包含在條件滿足時會執行的惡意JScript。 Continue reading “無檔案病毒攻擊: 新數位貨幣採礦病毒, 亞太區為重度感染區,台灣排名第三”

古典以太坊錢包(Ethereum Classic Wallet)成為社交工程受害者,保護數位貨幣和企業系統的 8 個建議

強烈建議使用者不要使用Classic Ether Wallet的服務,因為駭客在6月29日成功地控制了這個網站。這個電子錢包系統管理的是Ethereum Classic數位貨幣(古典以太坊,ETC),在本文撰寫時對美元為1:18.15。來自Reddit等論壇的報導顯示有許多受害者因為此駭客事件而損失了數千美元。請注意,古典以太坊與 Ethereum(以太坊,ETH)是不同的,這是因為一次駭客事件讓以太坊社群分裂所造成

駭客冒充Classic Ether Wallet網站所有者連絡網域註冊商,進而劫持了該網站

根據 Ethereum Classic的開發者,駭客冒充為Classic Ether Wallet網站所有者來連絡網域註冊商,進而劫持了該網站(偽裝成高階主管或上級主管是常見的社交工程詐騙手法,常被用來取得寶貴資料)。經由此作法,駭客將網域重新導向自己的伺服器。並且在網站中插入程式碼來將使用者輸入的私鑰複製下來,讓駭客得以從受害者帳戶中取得資金。

Ethereum Classic團隊的回應方式是透過Twitter快速通知使用者這起駭客事件,並將該網站列入黑名單。使用者一開始會看到封鎖訊息及網路釣魚警告,不過該網站現在已經被關閉。

社交工程和其他數位貨幣相關威脅

根據報導,數位貨幣使用者已經受到社交工程詐騙的嚴重影響。詐騙者通常會偽裝成受害者,讓服務商提供存取權限給連結多個帳戶的電話或設備。一旦取得權限,詐騙者會鎖定受害者,從可存取的帳戶中拿走一切。這對數位貨幣持有人來說是個大災難,因為交易在本質上是不可逆轉的。

除了社交工程外,還有其他更加複雜的威脅,尤其是現在數位貨幣變得越來越主流。攻擊者並不將目標限制在錢包或個人身上,而是用惡意軟體來感染系統和設備以進行數位貨幣採礦。

早在2011年,我們就偵測到與比特幣採礦相關駭客工具和後門程式的增加。現在惡意威脅變得更加先進,有漏洞的物聯網(IoT ,Internet of Thing)設備成為首要目標。從數位錄影機到路由器和連網監控攝影機,惡意軟體試圖感染更多設備好形成大規模的比特幣採礦廠。在2016年,我們偵測到一堆Windows設備、家用路由器和網路攝影像機淪為比特幣礦工。如果這些惡意軟體感染了企業系統,可能會影響生產力和運作能力,進而嚴重地影響業務。

保護數位貨幣和企業系統的 8 個建議

想要保護好數位貨幣和企業系統,需要小心警慎和積極作為: Continue reading “古典以太坊錢包(Ethereum Classic Wallet)成為社交工程受害者,保護數位貨幣和企業系統的 8 個建議”

販賣網路遊戲金幣:它如何成為攻擊企業的途徑?

作者:Raimund Genes(趨勢科技技術長)

跟 DDoS攻擊網路遊戲產業有類似遭遇的公司可能多不勝數。不過因為遊戲產業有著十億美元的產值,而且是個不斷成長的競爭社群,自然會引起網路犯罪分子的注意。像是最近的一起電子詐騙案,一群駭客從熱門的FIFA系列中挖出價值1600萬美元的金幣,將其賣給歐洲和中國的買家。在趨勢科技的研究中發現,這類遊戲金幣的販賣最終用來資助與網路遊戲無關的網路犯罪行動。

雖然有些網路攻擊似乎只針對特定產業,但威脅本身並無邊界,意味著它們也可能成為對其他產業進行更嚴重網路犯罪的入口。畢竟這麼巨大的潛在收入加上對數位貨幣的無法可管,要如何去阻止網路犯罪分子對網路遊戲產業進行更加多元的攻擊的賺錢大計?

online-gaming-01

圖1、如何洗出遊戲金幣來資助網路犯罪活動

Continue reading “販賣網路遊戲金幣:它如何成為攻擊企業的途徑?”