電腦突然變超慢？挖礦病毒數量暴增 400 倍，傳統防毒抓不到該如何自救

2019 年 05 月 21 日2019 年 04 月 30 日趨勢科技TrendMicro

最近看 Youtube 總是特別容易 Lag？耗電量不知道為什麼就是變得特別多？瀏覽器分頁開沒幾個就突然當機？在你以為自己的電腦絕對安全時，挖礦病毒已經悄悄入侵。根據趨勢科技統計，全球每天都有超過 300 個挖礦網站成立。財經網站《富比士》調查也顯示，2017 年第四季，出現 50 萬隻全新的挖礦病毒，到了 2018 年第三季底，光是新的挖礦病毒，數目就已經增加到 400 萬個。去年全年，不分新舊，全體挖礦病毒數量就成長了 400 倍。

電腦效能的隱藏殺手！挖礦病毒全面入侵

「2018 年是挖礦駭客很忙碌的一年，在全球各地對企業和個人發動攻擊！」富比士指出，這主要是因為去年加密貨幣大幅跌價，而駭客為了讓挖礦效率更高，就找了一條 CP 值更好的途徑：透過挖礦病毒來借力使力。

所謂的挖礦病毒（crypto mining malware），指的是駭客在電腦植入惡意軟體，接管受害者的電腦效能，進行加密貨幣挖礦，進而獲利的犯罪手法，這是近年興起的新型態惡意攻擊。通常駭客會先引誘使用者點按 email 裡的惡意連結，或透過感染某個網站來進入電腦，例如挖礦聊天社群就是很容易散播挖礦病毒的媒介，騙使用者下載挖礦修正檔，一旦成功下載，電腦就會被感染。

有趣的是，由於挖礦病毒的崛起， 2018 年勒索病毒的數量銳減，因為駭客找到了新的「獲利手法」。

試用版下載傳送門

亞太是挖礦攻擊重災區，台灣排第三

繼續閱讀

貌似空白的 excel 工作表,開啟前注意三件事,嚴防內嵌AutoHotkey惡意腳本攻擊

2019 年 04 月 19 日2019 年 05 月 02 日趨勢科技 TrendMicro

趨勢科技發現了一個可能利用合法腳本引擎AutoHotkey加上惡意腳本的針對性目標攻擊(Targeted attack )。此腳本會偽裝成電子郵件內的附件檔（Military Financing.xlsm）。使用者需要啟用巨集功能才能完全開啟檔案，接著會用AutoHotkey載入惡意腳本來避免被偵測。它還可以讓駭客竊取某些資訊，甚至下載TeamViewer來取得對系統的遠端控制能力。目前尚未確認此攻擊的目的。但因為其具備網路間諜能力，除了可能發動針對性目標攻擊(Targeted attack ) 外，也可能散播勒索病毒和挖礦病毒。

該電子郵件附加的Excel檔案標題（Foreign Military Financing (FMF)）以美國國防安全合作局的一項計劃命名, 內含兩個表單,其中一個以“ ”（空格）命名。趨勢科技提醒開啟附件前注意三件事:

下載和開啟附件檔前要先檢查寄件者、標題和本文是否有任何可疑之處。
記得檢查附加檔副檔名，確認是否跟郵件內容一致。
要啟用內容以打開檔案前請檢查可疑徵兆，如要求使用者啟用巨集的內容或顯示為空白的內容。

啟用巨集來開啟xlsm檔案時，就會被植入合法腳本引擎AutoHotkey以及惡意腳本

當使用者啟用巨集來開啟xlsm檔案時，就會被植入合法腳本引擎AutoHotkey以及惡意腳本。AutoHotkey載入惡意腳本後會連到C&C伺服器來下載並執行其他腳本來回應伺服器的命令。根據我們的觀察，它最終會下載並執行TeamViewer來取得對系統的遠端控制能力。但根據從C&C伺服器接收的命令，它可以下載並執行其他腳本。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/04/figure-1-attack-chain-starting-with-the-arrival-of-the-email-with-the-malicious-attachment-640x480.jpg

圖1. 攻擊鏈從夾帶惡意附件檔的電子郵件開始

企圖魚目混珠的Excel空白檔案

繼續閱讀

暴露的Docker控制API及社區版本映像檔,散布挖礦病毒

2019 年 03 月 06 日2019 年 03 月 03 日趨勢科技 TrendMicro

根據我們監控的容器（container）蜜罐系統（honeypot）資料分析，我們發現駭客利用Docker Hub上的社群版本容器映像檔來進行虛擬貨幣挖礦病毒活動。這份映像檔被利用來散布挖礦( coinmining )病毒惡意服務。同時會取得網路工具來對其他暴露的容器和應用程式進行橫向移動。

趨勢科技的蜜罐系統使用預設值建置，沒有設置任何安全措施或安裝其他軟體。請注意，Docker有提供最佳實作及建議來避免不良配置。捕捉到惡意活動的這套蜜罐系統是設計來接收針對容器平台本身的攻擊，而非是容器上的應用程式。

這波惡意活動的發現很重要，因為它不需要漏洞，也不依賴於於任何Docker版本。攻擊者只需要找到因配置不良而暴露在網路上的容器映像檔就可進行。

一旦Docker API暴露在網路上時，就可以讓人執行各種命令。包括列出執行中的容器；從特定容器取得日誌；啟動、停止或終止容器；甚至是用特定映像檔及選項來建立新容器。

*圖2、Shodan的搜尋結果顯示出3,762個暴露的Docker API國家/地區分佈（截至2019年2月12日）*

攻擊鍊和惡意負載

繼續閱讀

【防毒軟體】你的電腦安全嗎？現代人經常忽略「挖礦病毒、勒索病毒」以及「網購安全」，不裝防毒軟體真的能安然度過嗎？

2018 年 12 月 11 日2020 年 05 月 06 日趨勢科技TrendMicro

最近身邊朋友遇到電腦受到綁架病毒的攻擊，不只電腦內的檔案被加密而無法開啟，甚至連接在電腦上的外接硬碟也都被鎖死，更慘的是付費之後還解不開，整個損失可以說是相當慘重，尤其是它的外接硬碟內有很多寶寶的珍貴回憶，通通都沒了！我問她：「你有安裝防毒軟體嗎？」，結果答案你是知道的！就為了省一兩千元的防毒軟體，結果搞到必須付出 300~600 “美元”，也就是 9,000~18,000 元台幣不等的金額，更慘的是付了錢還不一定救的回來，搞到最後錢也付出了，珍貴的記憶也都沒了，省小失大這樣真的划算嗎？這實在值得好好省思！

談到防毒軟體，你會想到什麼呢？在很多人的印象中，防毒軟體可以保障電腦的安全、避免受到病毒檔案的感染或是破壞，近期更有許多人擔心感染勒索病毒而使重要資料付之一炬，也有些使用者會擔心使用防毒軟體會拖慢系統運作速度，或者不喜歡防毒軟體總是跳出一些警告資訊而讓自己擔心受怕！但其實時間來到了 2018 年，防毒軟體不僅與時俱進的強化網路防護功能，更可以透過網路即時更新病毒防護資料庫，不僅安全防護相較以往更全面，甚至系統運作順暢度方面也有相當好的表現！但更多人不知道的是：「大部分防毒軟體其實無法幫你保護網路線上購物以及網路銀行的安全，更很少有防毒軟體可以幫你偵測雲端空間以及手機上的資訊安全」，這些防毒軟體無法保護到的漏洞，你注意到了嗎？

以往，小旭使用的是 Trend Micro 趨勢科技旗下針對企業環境所提供的「OfficeScan」防毒軟體，所以小旭個人就有長達 15 年的時間都是受公司庇蔭而過著安全的資訊生活，但直到有一天…….我離職了 XD

離開原本公司環境之後，自力救濟回到「個人版」也就成為必經之路！由於多年使用趨勢科技 Trend Micro 相關產品的經驗以及好感度，加上小旭本身又是 3C 部落客，平常接觸科技產品與軟體的敏感度都都比較高，所以當要評估入手防毒軟體時，PC-cillin 自然也就成為我購買時的首選，畢竟能提供全面的安全防護、在地化的服務更新以及創新度，都是保護電腦、手機、雲端以及外接硬碟、隨身碟的優異選擇！繼續閱讀

挖礦病毒隱身術再進化,利用 Windows Installer 躲避偵測

2018 年 11 月 21 日2018 年 11 月 13 日趨勢科技 TrendMicro

虛擬貨幣挖礦病毒的驚人成長不只是因為它能夠賺錢的潛力，也因為它可以待在系統內不被發現，特別使用了各種混淆技術。對許多駭客來說，讓惡意軟體保持隱形而難以被偵測是必須面對的課題，以趨勢科技發現新的挖礦病毒: Coinminer.Win32.MALXMR.TIAOODAM為例,它便會使用多種混淆和封裝新技術。

安裝行為

圖1、惡意軟體感染鏈

繼續閱讀