《 EITest攻擊活動》偽裝成微軟Windows通知的技術支援詐騙頁面,散佈Coinhive門羅幣採礦程式

趨勢科技發現惡名昭彰的EITest攻擊活動利用技術支援詐騙這種社交工程手法來散播JavaScript（JS）數位貨幣採礦程式（趨勢科技偵測為HKTL_COINMINE）。會冒充技術支援服務來欺詐不知情的受害者，騙他們電腦感染了惡意軟體，需要付費解決。

EITest攻擊活動主要是利用受駭網站進行。它的活動可以追溯到2014年，曾經使用Angler漏洞攻擊套件來散播勒索病毒。從2017年1月起，它轉向利用“HoeflerText”（一套受歡迎的字型）網路釣魚攻擊或技術支援詐騙。在一個月的時間內，我們發現了990個受駭網站被注入惡意腳本，將潛在受害者轉向到技術支援詐騙網站。不過最近他們將Coinhive JS採礦程式加入攻擊行動，將受害者電腦轉變成門羅幣礦工。分析結果還顯示這個JS數位貨幣採礦程式跟“Pirate Bay（海盜灣）”網站上所發現的“Coinhive”JS採礦程式是同一個。

延伸閱讀:電腦出現藍屏,竟是假的!! 技術支援詐騙暴增,駭客假協助,真詐財!

圖1：觀察Coinhive相關流量的時間表

註：我們看到ElTest在9月19日開始加入數位貨幣採礦（紅色圈圈處）。

圖2：EITest技術支援詐騙的受害國家分佈

攻擊鏈

當使用者訪問受駭網站時，網站會透過HTTP請求的使用者代理資訊來識別瀏覽器類型。如果使用者用的是Chrome瀏覽器，就會直接向網頁注入釣魚網頁腳本。我們最初的測試顯示攻擊不會影響Firefox。

網路釣魚腳本被設計成通知使用者下載Hoefler Text字型以正確顯示頁面，但實際上它會下載一個惡意執行檔。而如果使用者用的是IE瀏覽器，將會被重新導到包含Coinhive門羅幣採礦JS腳本的技術支援釣魚網頁。底下是將使用者轉往流量導向系統（TDS，管理流量重新導向的工具）的惡意腳本截圖，接著再重新導到技術支援詐騙網站。

圖3：受駭網站的惡意腳本截圖（反白處為TDS重新導向網址）

圖4：技術支援詐騙網頁截圖

技術支援詐騙網頁偽裝成正常的微軟Windows通知，提醒受害者系統感染了惡意軟體。它會要求使用者打電話給他們的“技術部門”來解決問題。但在背後，網頁會從Coinhive的伺服器載入腳本並啟動JS數位貨幣採礦程式。除了造成系統延遲和效能問題外，使用者不會注意到自己的系統受到影響。

圖5：顯示Coinhive的JS數位貨幣採礦程式如何注入（左），以及它如何影響使用者系統（右）

事實上，數位貨幣採礦對網路犯罪份子越來越有吸引力，因為這是場明顯的非零和遊戲。壞人不用花太多精力製造自己的惡意軟體（只要濫用現有的灰色軟體）就可以獲利。而且也比較不會被執法單位注意到。

但對使用者來說，造成的影響不僅僅是系統耗損和效能問題。像是從1月1日到6月24日間，趨勢科技的感測器顯示有20%的數位貨幣採礦活動跟網路或網頁攻擊有關。從跨站腳本和遠端程式碼執行到暴力破解攻擊和SQL注入，侵入式和惡意的數位貨幣採礦會威脅到網路或系統以及儲存在上資料的可用性和安全性。更糟的是，受害者也成為了問題的一部分。

遵循最佳實作來避免數位貨幣採礦的相關攻擊。定期更新和修補系統（包括瀏覽器），處裡社交工程攻擊媒介（如可疑網站和電子郵件附件檔）時要更加小心謹慎。你可以考慮使用JS封鎖軟體來防止Coinhive之類的腳本執行。還有一點可慶幸的是，因為Coinhive門羅幣採礦腳本的性質，它並沒有持久性機制 – 關閉網站/瀏覽器就會停止執行腳本。

趨勢科技解決方案

趨勢科技Smart Protection Suites 和Worry-Free Pro可以偵測並封鎖惡意檔案和所有相關網址來保護使用者和企業免於這些威脅侵害。趨勢科技的 Smart Protection Suites 具有如高保真機器學習、網頁信譽評比服務、行為監控和應用程式控制等多項功能，可以最大限度地減少此威脅所帶來的影響。

入侵指標（IoC）：

與TDS伺服器相關的網域和IP地址：