趨勢科技發現一個新的數位貨幣挖礦殭屍網路會透過Facebook Messenger散播,該惡意程式已經從韓國蔓延至越南、亞塞拜然、烏克蘭、越南、菲律賓、泰國和委內瑞拉等地,以散播方式來看,相信很快就會散播到其他國家。我們將其命名為 Digmine,這是根據在韓國最近所發生相關事件的報告內所提到的別名(비트코인채굴기bot)。
Digmine會偽裝成影片檔傳送,但實際上是 個] AutoIt 可執行的腳本程式。如果使用者的Facebook帳號設定為自動登入,Digmine會操作Facebook Messenger將該檔案連結送給帳號的好友。對Facebook的利用目前僅限於散播,但攻擊者未來也可能會劫持Facebook帳號本身。功能性程式碼是取自命令和控制(C&C)伺服器,意味著可以被更新。
Digmine並會搜尋並啟動Chrome,然後載入從C&C伺服器取得的惡意擴充功能。
數位貨幣挖礦殭屍網路的已知工作模式(特別是挖掘門羅幣的Digmine)會盡可能地留在受害者系統內。它也會希望感染盡可能多的機器,因為這代表了運算力的增加以及更多可能的網路犯罪收入。
圖1:Digmine的攻擊鏈
圖2:透過Facebook Messenger(上)發送的Digmine連結及偽裝成影片的檔案(下);原始圖檔來源:c0nstant(右下)
每年在這時候,公司的最高管理階層都有許多該優先處理的事情:搞定明年的預算計畫以及確保企業朝向目標前進是最優先的兩項。而另一件在進入2018年時所必須考慮的重點是建造他們的IT資安團隊。
