數位貨幣 - 資安趨勢部落格

Digmine 數位貨幣挖礦程式,透過Facebook Messenger 散播中

2017 年 12 月 27 日2017 年 12 月 27 日趨勢科技 TrendMicro

趨勢科技發現一個新的數位貨幣挖礦殭屍網路會透過Facebook Messenger散播，該惡意程式已經從韓國蔓延至越南、亞塞拜然、烏克蘭、越南、菲律賓、泰國和委內瑞拉等地,以散播方式來看，相信很快就會散播到其他國家。我們將其命名為 Digmine，這是根據在韓國最近所發生相關事件的報告內所提到的別名（비트코인채굴기bot）。

Digmine會偽裝成影片檔傳送，但實際上是個] AutoIt 可執行的腳本程式。如果使用者的Facebook帳號設定為自動登入，Digmine會操作Facebook Messenger將該檔案連結送給帳號的好友。對Facebook的利用目前僅限於散播，但攻擊者未來也可能會劫持Facebook帳號本身。功能性程式碼是取自命令和控制（C&C）伺服器，意味著可以被更新。

Digmine並會搜尋並啟動Chrome，然後載入從C&C伺服器取得的惡意擴充功能。

數位貨幣挖礦殭屍網路的已知工作模式（特別是挖掘門羅幣的Digmine）會盡可能地留在受害者系統內。它也會希望感染盡可能多的機器，因為這代表了運算力的增加以及更多可能的網路犯罪收入。

圖1：Digmine的攻擊鏈

圖2：透過Facebook Messenger（上）發送的Digmine連結及偽裝成影片的檔案（下）；原始圖檔來源：c0nstant（右下）

繼續閱讀

挖礦平台NiceHash遭駭, 6400 萬美元比特幣被盜

2017 年 12 月 08 日2017 年 12 月 12 日趨勢科技 TrendMicro

斯洛維尼亞的數位加密貨幣採礦市集「NiceHash」已確認其網站和支付系統皆遭駭客入侵，其比特幣錢包內的貨幣已被偷走。根據報導，此次總共損失了 4,700比特幣（Bitcoin），約合 6,400 萬美元。

NiceHash 已在其網站發表一份聲明來說明此次事件：「很不幸地，NiceHash 的網站發生了駭客入侵事件，我們目前正著手調查整起事件，因此未來 24 小時將暫停所有營運。」

NiceHash 是一個讓使用者購買或銷售數位加密貨幣開採效能的市集，此外，會員還可將開採出來的貨幣儲存在外部錢包或本地端 BitGo 錢包。此事件的效應和影響範圍目前仍有待釐清，但這已意味著該市集的會員們將損失其經由 NiceHash 開採或累積的數位加密貨幣。

[資安基礎觀念：數位加密貨幣開採惡意程式的負面影響]

NiceHash 遭駭事件正好發生在數位加密貨幣流通量和價值達到巔峰之際 (比特幣價格目前已突破 14,000 美元)。目前的情勢對開採者、礦池業者以及投資人都是絕佳機會，因為數位加密貨幣已逐漸獲得企業機關和公家機構的青睞。繼續閱讀

挖礦劫持（Cryptojacking）攻擊影響近1,500個網站

2017 年 12 月 04 日2017 年 11 月 29 日趨勢科技 TrendMicro

一名安全研究人員在分析數百個網站的程式碼後發現一波巨大挖礦劫持（cryptojacking）攻擊活動的源頭。在LiveHelpNow所用的JavaScript檔案內發現Coinhive用於瀏覽器的數位貨幣挖礦程式，LiveHelpNow是在網站提供即時對話和支援的軟體平台。

挖礦劫持（Cryptojacking）指的是在未經使用者同意下就利用瀏覽器挖掘數位貨幣的方式。這方式利用網頁內的JavaScript挖掘數位貨幣。負責利用瀏覽器挖礦的JavaScript程式碼不需要安裝。只要載入有問題的網頁就會在瀏覽器內執行挖礦程式碼。繼續閱讀

你的電腦成為他的挖礦機?! Coinhiveh採礦程式成為第六大的惡意軟體

2017 年 11 月 21 日2017 年 11 月 30 日趨勢科技 TrendMicro

海盜灣偷藏挖礦程式曝光後，反而掀起了全球挖礦綁架的跟風，才3周，就有220個網站暗藏挖礦程式碼，5億名訪客的電腦成了挖礦肉雞，趨勢科技估計，全球每天會新增300個挖礦網站，挖礦綁架成了資安威脅清單一定要列上的新名詞,全文請看 IT Home 報導:【災情持續擴大，全球每天新增300個挖礦網站】黑色產業覬覦瀏覽器挖礦，5億訪客不知電腦變礦工

數位貨幣採礦程式 Coinhive（趨勢科技偵測為HKTL_COINMINE）在9月時為人所知，因為EITest攻擊活動用它來詐騙受害者為其服務付費或利用技術支援詐騙來取得財務資訊。而一份新的報告揭露了Coinhive的做法，將貨幣採礦程式列為世界第六常見的惡意軟體。

Coinhive 提供網站所有人和營運商可嵌入至網站的Javascript程式碼。這程式碼會秘密地使用網站訪客的電腦處理能力來挖掘門羅幣。這對雙方來說是種雙贏，因為 Coinhive 保留了一部分採礦成果，而網站所有人取得其餘的部分。不幸的是網站訪客不知道自己的電腦處理器在不知情下被使用。雖然 Coinhive本身是一家合法的公司，但是其相當可疑的運作模式往往造成惡意份子去加以濫用。

受感染系統實成為攻擊者的私人數位貨幣礦工

雖然數位採礦惡意軟體仍沒有其他惡意軟體（如勒索病毒）那樣的惡名昭彰和高知名度，但這份報告證實它正在快速地成長。數位貨幣採礦惡意軟體的主要吸引力之一是它們隱密且通常非侵入性。它所造成的性能下降和系統延遲可能令人不快，但使用者不太可能發現原因是採礦程式（如 Coinhive）。另外，這類型的惡意軟體也帶來很好的獲利機會，因為每個受感染系統實際上都成為了攻擊者的私人數位貨幣礦工。繼續閱讀

《數位貨幣》採礦機不夠力? 礦工改用這些方法獲利

2017 年 11 月 16 日2017 年 11 月 16 日趨勢科技 TrendMicro

數位貨幣採礦是一項需要大量電力、強大顯示卡、專用處理器和其他硬體才能持續運作的密集性工作。比特幣仍然是最具價值的數位貨幣（在10月的第三週創下近6,000美元的高點），但是需要大量的投資才可能回本。

正如此報告中提到，不夠力的採礦機花在電力的花費比從比特幣 Bitcoin) 上賺的還要多。而因為開採一個區塊的獎勵（這是支撐比特幣的交易）減少了，所以就更難獲取利潤。在2016年，比特幣採礦收益減半至12.5比特幣，預計大約每四年下降一次。而且開採比特幣的主力變成企業化的做法，因為需要用客制化的ASIC硬體開採才有利可圖。

面對這些狀況，很多人會將數位貨幣採礦計畫轉向被認為能夠防止ASIC開採的其他貨幣，讓使用普通硬體也能夠以合理的回報開採這些貨幣。網路犯罪分子似乎也朝著這個方向前進，比特幣Bitcoin) 以前是地下市場內許多人的首選貨幣，但目前的數位貨幣採礦病毒大多是針對門羅幣（Monero）或Zcash。

隨著數位貨幣價值的水漲船高，網路犯罪分子會不斷開發新方法和技術來有效地挖掘數位貨幣也就不足為奇了。

合法廣告的代替品: 要求訪問者捐贈電腦處理能力，透過採礦來贊助網站

CoinHive是特意開發來做為網站替代收入來源的合法採礦程式。網站所有者不需要讓廣告將網站弄亂，而是要求訪問者捐贈電腦處理能力，透過採礦來贊助網站。一個熱門種子網站是採用此作法的首波主要網站之一。但是訪客並沒有被告知或提供退出選項。繼續閱讀