虛擬貨幣採礦這門生意真是越來越夯,就在上個月,星巴克證實有客戶在手機連上他們阿根廷布宜諾斯艾利斯分店的 WiFi 網路之後,被駭客用來暗中開採門羅幣。除此之外, LiveHelpNow 線上即時技術支援軟體平台所使用的一個 JavaScript 檔案也被發現遭駭客植入瀏覽器專用的 Coinhive 數位加密虛擬貨幣開採程式,目前全球有數百個網站都是 LiveHelpNow 的使用者。還有另一起發生在 The Pirate Bay (海盜灣) 網站的案例,該網站被人發現會使用訪客的電腦來開採門羅幣,當成網站的額外收入來源。
最近資安研究人員發現了一個門羅幣 (Monero) 採礦惡意程式 (趨勢科技命名為 TROJ_COINMINER.JA 和 TROJ_COINMINER.JB) 的安裝程式,而開採出來的門羅幣會傳送至位於北韓金日成綜合大學 (KSU) 內的伺服器。另外,一位 Reddit 的使用者也在「TCL通訊科技控股有限公司」所持有的黑莓機 (BlackBerry) 行動網站上發現一個門羅幣採礦程式。
門羅幣 (Monero) 挖礦惡意程式,企圖將挖礦成果傳至北韓境內的大學
這個位於 KSU 的門羅幣開採程式安裝器在安裝時,會複製一個名為「intelservice.exe」的檔案到系統上,這是虛擬貨幣採擴惡意程式的 常見手法。從其程式碼看到的軟體名稱為「xmrig」,是一個專門利用 IIS 伺服器未修補漏洞來開採門羅幣的程式。
報導指出,這個惡意程式,會指示被感染的「宿主」電腦執行挖礦的電腦運算,以獲取加密貨幣「門羅幣」(Monero),並傳送到平壤的金日成大學。駭客輸入密碼KJU(有可能是金正恩Kim Jong Un的英文姓名縮寫)之後,可以獲取使用這些虛擬貨幣。
資安研究人員表示,雖然該軟體的作者是在金日成綜合大學被發現,但不代表作者是北韓人,因為金日成綜合大學會對外招生,因此有許多外國學生和講師。此外,該連結似乎也連不上,所以表示挖礦程式並無法將開採到的錢幣傳回給作者。
黑莓機官方的手機版網站含有 CoinHive 虛擬貨幣開採程式
另一方面,一位 Reddit 使用者也在貼文中指出,黑莓機官方的手機版網站含有 CoinHive 虛擬貨幣開採程式。當使用者造訪「www.blackberrymobile.com」網站時,這個挖礦程式就會使用訪客裝置的 CPU 效能來開採門羅幣,不過該網站只是目前全球受害網站之一而已。
CoinHive 也針對其服務遭到濫用而出面在 Reddit 討論串上道歉,並且表示駭客似乎是利用了 Magento 網站開發軟體 (或許還有其他軟體) 的漏洞,並且駭入了多個不同的網站。Coinhive 補充道:「我們已經將違反我們服務條款的帳號停權」。
解決方案
採用全方位的資安防護來攔截含有惡意或不肖行為的網站和腳本。趨勢科技 Smart Protection Suites 和 Worry-Free Pro皆能保護使用者與企業並偵測上述威脅與相關網址。此外,趨勢科技Smart Protection Suites 還具備高準度機器學習、網站信譽評等、行為監控、應用程式控管等功能,可有效降低這項威脅。
原文出處:Monero Miners Found in BlackBerry Mobile Site, North Korean University Server|
延伸閱讀:趨勢科技 PC-cillin 2018 防毒軟體雲端版好強大!跟偷挖礦、勒索病毒說掰掰
PC-cillin 雲端版防範勒索 保護個資 ✓手機✓電腦✓平板,跨平台防護3到位
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
▼ 歡迎加入趨勢科技社群網站▼
