合法應用程式夾帶無檔案式挖礦病毒

趨勢科技發現一些像 TeamViewer、Rufus 與 YTD Video Downloader 這類合法的應用程式，最近被駭客夾帶了無檔案病毒(fileless malware)挖礦程式 (趨勢科技命名為 Coinminer.Win32.MALXMR.THHADBO)。這些應用程式的安裝檔並非來自官方下載來源或應用程式商店。在安裝的時候，安裝程式會將這些應用程式與一個惡意腳本 (VBS file) 安裝到使用者的系統。接著，惡意腳本會連線至一個網站來下載一個挖礦程式載入器，再由這個載入器將挖礦程式載入系統。

將挖礦程式與其他惡意程式夾帶在合法的應用程式安裝檔案當中 (例如視訊會議軟體) 早就不是什麼新鮮技巧，只不過，不熟悉這類手法的使用者很可能會不小心從可疑來源下載到這類檔案，因而使得自己的系統遭到感染。

延伸閱讀:電腦變慢了?竟是挖礦病毒!跟你一起在家工作!

如何防範各式各樣威脅?

網路犯罪情勢瞬息萬變，隨時都會有新的威脅冒出來，這是一場駭客與資安研究人員之間永無止境的競爭。所以，企業和一般個人應隨時掌握資安情勢的最新發展，才能採取必要措施來防範威脅入侵，俗話說的好：「掌握狀況就先贏一半」。

要應付各式各樣的威脅，建議企業和使用者都能落實一些良好的資安實務原則和習慣：

僅從官方來源或應用程式商店下載應用程式。
對於來自非信任來源的電子郵件或其他訊息，切勿點選其中的連結或下載附件檔案。
定期更新軟體和應用程式以確實修補最新漏洞。
在系統內安裝資安解決方案來攔截及防範威脅。

除此之外，您還可採用以下趨勢科技產品來防範各式各樣的威脅：

趨勢科技 Apex One™ 與 Apex One Endpoint Sensor：採用行為分析來防範惡意腳本、程式碼注入、勒索病毒，以及無檔案式的記憶體與瀏覽器攻擊。
趨勢科技XDR：串連電子郵件、端點、伺服器、雲端工作負載與網路，提早偵測並回應威脅。
趨勢科技Email Security：運用進階機器學習與動態沙盒模擬分析來分析檔案與網址，進而攔截電子郵件威脅。

總而言之，趨勢科技建議採用一套多層式防護來防範威脅所有可能的入侵點。

入侵指標資料

SHA-256	趨勢科技病毒碼偵測名稱	趨勢科技機器學習偵測名稱
12434186b803afd5e75b77bf8439d968ef0bb18ed8a871a279b95fe0a6c4e132	Coinminer.Win32.MALXMR.THHADBO	Troj.Win32.TRX.XXPE50FFF036
2da7be1ed9f13424c7b747caea0030b5b19007597640e9700add15bc8d236a1e	Trojan.Win32.MALXMR.THHADBO	不適用。
329788672911aaed64ba2add41a09f93b878bf8a3291c1309988acadb3643141	Trojan.VBS.MALXMR.THHADBO	不適用。
663e4b7c209e864faaf598d791a9a6958c70f75bf974853d59bd15bc2a931163	Trojan.Win32.MALXMR.BX	不適用。
9dade12201cc88cbd90f2fbaf4d50e512d4a377debad6714f19e10195e3a91be	Trojan.Win32.MALXMR.BX	不適用。
a24f84fa1302c9f4b68791532d2d7dbb0269e2ac2f245652164934289a1ba37e	Trojan.Win32.MALXMR.BX	不適用。
a78c0bd4cf9f4e21dea1fa67e92a6498c5df83c3ae57bb1f02d40da44e55cd69	Coinminer.Win32.MALXMR.THHADBO	Troj.Win32.TRX.XXPE50FFF036
ae54783709a60e685846b3812d4e65b54672c8c40d2e8499fa92255ef89b7375	Trojan.Win32.MALXMR.BX	不適用。
cd4b97c42b5ce9540f141498e2fdd4d566ea0b835d0c295994bf644744b5d4dd	Trojan.Win32.MALXMR.BX	不適用。