Digmine 數位貨幣挖礦程式,透過Facebook Messenger 散播中

趨勢科技發現一個新的數位貨幣挖礦殭屍網路會透過Facebook Messenger散播,該惡意程式已經從韓國蔓延至越南、亞塞拜然、烏克蘭、越南、菲律賓、泰國和委內瑞拉等地,以散播方式來看,相信很快就會散播到其他國家。我們將其命名為 Digmine,這是根據在韓國最近所發生相關事件的報告內所提到的別名(비트코인채굴기bot)。

Digmine會偽裝成影片檔傳送,但實際上是 個] AutoIt 可執行的腳本程式。如果使用者的Facebook帳號設定為自動登入,Digmine會操作Facebook Messenger將該檔案連結送給帳號的好友。對Facebook的利用目前僅限於散播,但攻擊者未來也可能會劫持Facebook帳號本身。功能性程式碼是取自命令和控制(C&C)伺服器,意味著可以被更新。

Digmine並會搜尋並啟動Chrome,然後載入從C&C伺服器取得的惡意擴充功能。

數位貨幣挖礦殭屍網路的已知工作模式(特別是挖掘門羅幣的Digmine)會盡可能地留在受害者系統內。它也會希望感染盡可能多的機器,因為這代表了運算力的增加以及更多可能的網路犯罪收入。

圖1:Digmine的攻擊鏈

圖2:透過Facebook Messenger(上)發送的Digmine連結及偽裝成影片的檔案(下);原始圖檔來源:c0nstant(右下)

感染鏈

Digmine是個下載器,會先連到C&C伺服器來讀取設定並下載多個元件。初始設定包含下載元件連結,大部分也位在同一個C&C伺服器上。它將下載的元件儲存在%appdata%\<username>目錄。

圖3:下載器的設定(上);下載的元件(下)

 

Digmine還會執行其他動作,如在註冊表內設定自動啟動以及加上系統感染標誌。它會搜尋並啟動Chrome,然後載入從C&C伺服器取得的惡意擴充功能。如果Chrome已經在執行中,惡意軟體將終止並重新啟動Chrome以確保擴充功能被載入。雖然擴充功能只能從Chrome Web Store取得跟載入,但攻擊者透過命令列啟動Chrome(載入惡意擴展功能)來繞過這限制。

圖4:Digmine下載器元件加入註冊表的自動啟動項(上),以及加入被惡意軟體感染系統的標記(下)

圖5:終止執行中的Chrome(上),用參數重新執行Chrome來載入擴充功能(下)

 

擴充功能會從C&C伺服器讀取自己的設定。它會讓擴充功能登入Facebook或打開播放影片的假網頁。

播放影片的誘餌網站也是C&C的一部分。這個網站偽裝成影片串流網站,但也包含許多給惡意軟體元件的設定檔。

圖6:來自C&C設定內的誘餌影片連結(上),及播放誘餌影片的假串流網站截圖(下)

圖7:瀏覽器擴充功能所用的初始設定

 

散播

瀏覽器擴充功能負責與Chrome和Facebook Messenger互動來進行散播。這個動作由C&C伺服器取回的設定檔內條件觸發。

如果使用者的Facebook帳號預設為自動登入,瀏覽器擴充功能就可以和他們的帳號進行互動。它會從C&C伺服器下載其他程式碼來做到這一點。Digmine與Facebook的互動在未來可能會具備更多能力,因為可以加入更多程式碼。

圖8:從C&C伺服器取得額外程式碼部分,可以讓Facebook進行互動

 

挖礦元件

挖礦模組由挖礦管理元件codec.exe下載。它會連到另一台C&C伺服器來取得挖礦程式及對應的設定檔。

挖礦元件miner.exe是被稱為XMRig的開放原始碼門羅幣挖礦程式的後代。挖礦程式被設定讀取config.json檔來執行而非直接從命令列接收參數。

圖9:Miner設定(上)和codec.exe會讀取設定檔來啟動挖礦元件(下)

 

C&C通訊和協定

下載器和挖礦管理元件都使用特定HTTP標頭和C&C伺服器進行連線。當下載初始設定時,惡意軟體合成HTTP GET請求送到C&C伺服器:

GET /api/apple/config.php HTTP/1.1

Connection: Keep-Alive

Accept: */*

User-Agent: Miner

Window: <使用中視窗名稱>

ScriptName: <惡意檔案名稱>

OS: <作業系統版本>

Host: <C&C伺服器>

 

值得注意的是惡意軟體使用名為Miner的特定User-Agent。如果HTTP標頭請求不正確就無法取得初始設定檔。

 

最佳實作

數位貨幣挖礦的日益熱門將攻擊者吸引回採礦殭屍網路的生意。就跟許多網路犯罪計劃一樣,數字很重要 – 越多的受害者就代表越多的利潤。他們會利用社群媒體等熱門平台來散播惡意軟體並不令人驚訝。為了避免此類威脅,請遵循保護社群媒體帳號的最佳作法:分享之前先想一想,注意可疑或不請自來的訊息,並且要啟用帳號的隱私設定。

趨勢科技已經向Facebooke告知了我們的調查結果,他們立即從其平台上刪除許多與Digmine相關的連結。在Facebook的官方聲明中,“我們維護許多自動化系統來協助阻止有害連結和檔案出現在Facebook和Messenger上。如果我們懷疑你的電腦感染了惡意軟體,我們將向你提供來自我們所信任合作夥伴的免費防毒掃描。我們在facebook.com/help分享如何保持安全的建議以及連到這些掃描程式的網址。“

 

入侵指標(IoCs):

偵測為TROJ_DIGMINEIN.A的雜湊值(SHA256);

  • beb7274d78c63aa44515fe6bbfd324f49ec2cc0b8650aeb2d6c8ab61a0ae9f1d

 

偵測為BREX_DIGMINEEX.A的雜湊值(SHA256):

  • 5a5b8551a82c57b683f9bd8ba49aefeab3d7c9d299a2d2cb446816cd15d3b3e9

 

偵測為TROJ_DIGMINE.A的雜湊值(SHA256):

  • f7e0398ae1f5a2f48055cf712b08972a1b6eb14579333bf038d37ed862c55909

 

與Digmine相關的C&C伺服器(包括子網域):

  • vijus[.]bid
  • ozivu[.]bid
  • thisdayfunnyday[.]space
  • thisaworkstation[.]space
  • mybigthink[.]space
  • mokuz[.]bid
  • pabus[.]bid
  • yezav[.]bid
  • bigih[.]bid
  • taraz[.]bid
  • megu[.]info

 

@原文出處:Digmine Cryptocurrency Miner Spreading via Facebook Messenger