標籤: 數位貨幣

Google Play 再現加密貨幣採礦惡意程式

趨勢科技 TrendMicro

儘管行動裝置的效能是否能開採出足夠的數位加密貨幣還有待商榷,但對於受害裝置的使用者來說,壞處卻是很明顯的:裝置耗損更快、電池壽命縮短、手機效能變慢。

最近,趨勢科技在 Google Play 商店上發現了幾個具備數位加密貨幣開採能力的惡意應用程式。這些應用程式採用了 JavaScript 動態載入與原生程式碼注入技巧來躲避偵測。我們將偵測到的惡意程式命名為:ANDROIDOS_JSMINER 和 ANDROIDOS_CPUMINER。

這已非第一次這類應用程式在 Google Play 商店上架。多年前,趨勢科技在 Google Play 商店上發現的 ANDROIDOS_KAGECOIN 惡意程式家族即具備數位加密貨幣採礦能力

ANDROIDOS_JSMINER:利用 Coinhive 程式庫進行採礦

我們先前曾經看過一些技術支援人員詐騙以及遭到駭客入侵的網站被植入 Coinhive 所開發的 JavaScript 數位加密貨幣採礦程式庫。不過這一次看到的卻是以應用程式型態出現,這就是:ANDROIDOS_JSMINER。我們發現了兩個應用程式樣本,其中一個是使用者誦經禱告幫手,另一個是提供各類折扣優惠資訊。

圖 1 和 2:Google Play 商店上的兩個 JSMINER  惡意程式樣本。

不過這兩個惡意程式樣本在啟動之後都會載入 Coinhive 所提供的一個 JavaScript 程式庫,隨即便開始用駭客的網站金鑰來開採數位加密貨幣。

圖 3:應用程式啟動之後開始採礦的程式碼。

這個 JavaScript 程式碼會在應用程式的網頁視窗中執行,但使用者卻不會看到,因為該視窗預設會以隱形模式執行。 繼續閱讀

海盜灣(The Pirate Bay)用採礦程式生成門羅幣(Monero)

趨勢科技 TrendMicro

海盜灣(TPB)或許是最熱門的種子代管網站,常被用來下載軟體和影音檔 – 許多都是非法的。不過使用者可能會付出比預期要多的代價,因為該網站被發現會利用訪客電腦來開採門羅幣(Monero)作為額外的收入。

在一篇部落格文章中,網站管理員提到他們正在測試一種JavaScript採礦程式好產生足夠收入以擺脫所有的網站廣告。該文章還提到程式碼內的一個小錯誤會導致用到訪客電腦的所有運算能力。這已經被修正到只允許使用20-30%。使用者在網站上找到指向Coinhive服務的程式碼,這是海盜灣(TPB)所使用的採礦程式。

網友對這舉動的反應很兩極,有些使用者讚許這是可以賺取更多收入的方法,而另一些使用者對於電腦資源在不知情下被使用而反感。總的來說,大多數使用者都認為海盜灣(TPB)應該在採礦程式的使用上更加透明,並給予使用者是否志願提供運算資源的選擇。

不過海盜灣(TPB)會選擇門羅幣也是件有意思的事情。數位貨幣本身是合法的,但它也被捲入最近的惡意軟體攻擊。早在五月份,Adylkuzz木馬程式(趨勢科技公司偵測為TROJ_COINMINER.WN)利用EternalBlue漏洞(跟WannaCry所用的一樣)竊占使用者資源來挖掘門羅幣。近來跟數位貨幣有關的惡意軟體一直在增加,因為相對於傳統貨幣的便利性和匿名性,讓它們成為受網路犯罪分子歡迎的目標。 繼續閱讀

以太幣平台 Enigma 遭攻擊並失竊近 50 萬美元

趨勢科技 TrendMicro

加密貨幣交易所 Enigma 遭到攻擊,就在受到高度矚目的首次貨幣發行 (ICO) 的幾週前,該公司發出警訊,表示其系統中的部分帳戶已遭到入侵。

根據報導指出,駭客藉由更改 enigma.co 網站,利用 Slack 管理員帳戶張貼訊息,並傳送垃圾郵件至該公司的郵寄清單,讓使用者將錢送至其加密錢包,共計竊取價值近 50 萬美元的以太幣。這項訊息藉由預售公告,刻意讓該公司的潛在客戶產生緊迫感。

Enigma 於 8 月 21 日在其 Twitter 帳戶上張貼聲明,提醒使用者此攻擊事件。該公司澄清,預售只能透過未來代幣簡單協議 (SAFT) 進行,它是合法交易所需要的法律文件。該公司同時澄清,實際將提供此代幣的網站並未受到影響,9 月 11 日的 ICO 將如期進行。

根據來自 reddit 的 EthTrader 子網站推測,這次事件可能源自與 Enigma CEO Guy Zyskind 的電子郵件相關的個別攻擊,導致有關 Zyskind 的電子郵件地址資訊被散佈至網站,並在後來被用於展開這項攻擊。 繼續閱讀

什麼是加密虛擬貨幣(Cryptocurrency)?數位貨幣挖礦程式所帶來的影響

趨勢科技 TrendMicro

 

澳洲政府承認數位虛擬貨幣為合法的支付方式。從七月一日起在該國用數位虛擬貨幣(如比特幣)購買產品或服務時免稅,以避免被重複徵稅。因此,交易商和投資者不會因為在合法交易平台上買賣而被徵稅。

日本則是在四月讓比特幣成為合法的支付方式,預計有超過2萬家商家接受比特幣付款。其他國家也加入了這個行列(儘管只是部分):瑞士、挪威荷蘭企業部分公開組織。最近一項研究指出,不重複的活躍數位貨幣使用者在二百九十萬到五百八十萬之間,大部分位在北美和歐洲。

但數位貨幣必須做好什麼面對網路威脅的準備呢?有許多。像比特幣這樣受真實世界歡迎的數位虛擬貨幣也讓網路犯罪想要加以利用。但實際上會如何作?這對企業和一般用戶來說又代表什麼?

什麼是加密虛擬貨幣(Cryptocurrency)?

加密虛擬貨幣是代表一種貨幣單位的加密資料串。它經由點對點網路所監控和管理,也稱為區塊鍊,作為交易(如購買、出售、轉讓)的安全帳簿。跟實體貨幣不同,加密虛擬貨幣去中央化,這代表它們並不由政府或其他金融機構發行。

加密虛擬貨幣透過加密演算法來產生,經由稱為挖礦的程序來維護和確認,由一群電腦或特製硬體(如特殊應用積體電路,ASIC)來處理和驗證交易。這個過程會用加密虛擬貨幣來回報給礦工。

[相關:比特幣是數位加密虛擬貨幣的未來嗎?]

 

比特幣不是全部也不是最終 繼續閱讀

鎖定「SambaCry」漏洞的新威脅現身, Linux 使用者請盡速更新系統 

趨勢科技 TrendMicro

Samba的資安弱點即便經過修補,新的弱點也陸續出現。趨勢科技近期發現駭客可利用SMB弱點(CVE-2017-7494)進行攻擊, 影響範圍為Samba 3.5.0開始的所有版本。

除了Windows作業系統主機以外,Linux作業系統只要啟用SMB服務,也有可能遭受攻擊。駭客會利用此弱點攻擊 Linux 系統設備(包含網路儲存設備 (NAS)IoT設備),一旦成功後即植入惡意程式。

企業環境(政府、製造業、金融業)大量使用 Linux 作業系統伺服器,且大部分均為關鍵業務系統。而Linux常被認為系統安全性高,較不會被入侵,因此較易疏於管理、更新、防護。駭客可能利用此情形,結合目標式攻擊與內網擴散手法攻擊此弱點,入侵至伺服器後加密檔案,進行勒索。因此,趨勢科技建議您,除了Windows作業系統需安裝修補程式外, Linux 作業系統也應時時保持更新。

若客戶在內部網路發現此弱點攻擊事件,極可能代表攻擊已進入到內網擴散階段,可搭配DDI偵測內網擴散攻擊來源。

Windows 檔案與印表機分享 SMB 通訊協定的開放原始碼軟體 Samba 當中,一個擁有七年歷史的漏洞雖然在去年 5 月已經修復,但至今仍不斷出現攻擊案例。根據該公司發布的一項安全公告指出,此漏洞可讓駭客上傳一個程式庫到可寫入的公用資料夾,並促使伺服器載入並執行該程式庫。駭客一旦得逞,就能在受害裝置上開啟一個指令列介面 (command shell) 來操控該裝置。所有 Samba 3.5.0 起的版本皆受此漏洞影響。

此漏洞 (CVE-2017-7494) 命名為「SambaCry」,因為它和 WannaCry(想哭)勒索蠕蟲所利用的 SMB 漏洞有幾分類似。此漏洞是在 2017 年 6 月數位貨幣採礦程式 EternalMiner/CPUMiner 利用它來入侵 Linux 電腦以開採墨內羅 (Monero) 數位貨幣才因而曝光。根據先前趨勢科技所蒐集到的樣本顯示,SambaCry 只被用來攻擊伺服器,且駭客頂多是利用受害伺服器來開採數位貨幣。但根據近期的資料,駭客已經會利用 SambaCry 來從事其他用途。

攻擊物聯網(IoT ,Internet of Thing)裝置,尤其是中小企業經常用到的 NAS 網路儲存裝置

這個較新的惡意程式趨勢科技命名為 ELF_SHELLBIND.A,發現日期為 7 月 3 日。類似先前報導過的 SambaCry 攻擊案例,它同樣也會在受害系統上開啟指令列介面。不過,ELF_SHELLBIND.A 與先前利用 SambaCry 的攻擊有些截然不同之處。首先,它會攻擊物聯網(IoT ,Internet of Thing)裝置,尤其是中小企業經常用到的 NAS 網路儲存裝置。其次,ELF_SHELLBIND 也攻擊採用其他 CPU 架構的系統,如:MIPS、ARM 和 PowerPC。這是首次 SambaCry 被用於數位貨幣開採以外的用途。

惡意程式分析

內建 Samba 軟體的裝置很多,隨便上 Shodan 搜尋一下就能找到:指定搜尋 445 連接埠然後輸入「samba」這個字串就能得到一份 IP 清單。駭客只需撰寫一個工具自動將惡意的檔案寫入清單中的每個 IP 位址。駭客一旦成功將檔案寫入公用資料夾,含有 SambaCry 漏洞的裝置就會成為 ELF_SHELLBIND.A 的受害者。 繼續閱讀