趨勢科技發現惡名昭彰的EITest攻擊活動利用技術支援詐騙這種社交工程手法來散播JavaScript(JS)數位貨幣採礦程式(趨勢科技偵測為HKTL_COINMINE)。會冒充技術支援服務來欺詐不知情的受害者,騙他們電腦感染了惡意軟體,需要付費解決。
EITest攻擊活動主要是利用受駭網站進行。它的活動可以追溯到2014年,曾經使用Angler漏洞攻擊套件來散播勒索病毒。從2017年1月起,它轉向利用“HoeflerText”(一套受歡迎的字型)網路釣魚攻擊或技術支援詐騙。在一個月的時間內,我們發現了990個受駭網站被注入惡意腳本,將潛在受害者轉向到技術支援詐騙網站。不過最近他們將Coinhive JS採礦程式加入攻擊行動,將受害者電腦轉變成門羅幣礦工。分析結果還顯示這個JS數位貨幣採礦程式跟“Pirate Bay(海盜灣)”網站上所發現的“Coinhive”JS採礦程式是同一個。
延伸閱讀:電腦出現藍屏,竟是假的!! 技術支援詐騙暴增,駭客假協助,真詐財!
圖1:觀察Coinhive相關流量的時間表
註:我們看到ElTest在9月19日開始加入數位貨幣採礦(紅色圈圈處)。
圖2:EITest技術支援詐騙的受害國家分佈
攻擊鏈
當使用者訪問受駭網站時,網站會透過HTTP請求的使用者代理資訊來識別瀏覽器類型。如果使用者用的是Chrome瀏覽器,就會直接向網頁注入釣魚網頁腳本。我們最初的測試顯示攻擊不會影響Firefox。 繼續閱讀