没有一天不一个标题关于另一个大幅飙升比特币的估值,或者一个关于别人的故事抵押他们的房子购买所需的硬件成为一个严重的cryptocurrency矿工。
如果很多人正在考虑加入加密狂热的运动,他们可能会惊奇地发现,他们已经有了。我们以前记录浏览器矿工在这个博客,或者我们称之为驾车cryptomining,但驾车通过平台下载攻击如利用装备想要分一杯羹的,太。而后者不是一个新趋势,我们已经注意到一个恶意软件增加有效载荷从硬币的矿工,我们认为这将是遵循2018年的东西。
概述
今天,我们来看一个多产的活动,重点是硬币的分布矿工通过下载型攻击。我们开始注意到比平时多的有效载荷平台开发工具在2017年11月,这一趋势仍在继续通过运动被称为最近Ngay。
发生了什么是,最初的滴管包含额外的二进制文件,导致其超大的性质如下描述。滴管从这场运动已经包含一个或多个硬币矿工一致,至少Monero和其他货币如知名度较低,但仍受欢迎Bytecoin。
一个有效载荷导致两种不同的硬币矿工。
同样的攻击,这两个过程将为知名Monero和矿井Electroneum cryptocurrencies。两个可执行文件在运行时,CPU使用率在受害人的电脑刷爆在100%。
分布
的Ngay运动,确认Nao_Sec正如大家所知道的连锁店之一,依赖于钻井平台利用设备分发其有效载荷。最近,我们观察到一个更复杂的重定向链涉及bestadbid和各种XML提要上游,最终向下游延伸到更熟悉的重定向到钻井平台。
感染流重定向到钻机EK,紧随其后的是硬币矿工的有效载荷
iframe操纵EK插入Ngay模板的页面
把二进制从钻机EK包含两个其他工件,导致不同的硬币矿工,在一个相当不寻常的过程。在下面几节中,我们将研究他们的部署机制。
Monero矿工
Monero是其中一个最著名的电子货币,比特币相反,不需要特殊的硬件和隐私提供了额外的好处。威胁演员跳上它通过大规模驾车矿业的攻击,在硬币的帮助miner-purposed恶意软件。
这里Monero矿工后下载一个复杂的过程,也旨在注册永久运行服务。提取的二进制从钻井平台EK负载(3 yanvarya.exe)是一个安装程序,滴一些。net模块:
net模块提取从一个钻井平台中包含的两个工件EK的负载
starter.exe使用一个利用(调用- ms16 - 032)复制GitHub库(它甚至再利用原证!)提升特权:
代码片段显示PowerShell代码旨在提升特权
foxcon.exe里面包含两个子模块:九头蛇和手,号称保护和管理服务:
九头蛇和手:两个模块负责矿业公司服务
services.exe是一个矿工服务下载和管理:
矿工从远程IP地址下载
最后,Monero矿业公司(series64.exe检索)和可以开始采矿活动。整个过程可以归纳为下面的图。
“C: \ Windows \ TEMP \ series64。exe”- o 5.23.48.207:5555 - u x - p - k - b -max-cpu-usage = 30安全的
概述Monero矿工的部署
Electroneum矿工
Electroneum,“移动友好的“数字货币,只有最近介绍了但后来受欢迎的几乎立即。Android应用程序允许任何人我和管理他们的钱包,但是矿工桌面平台上运行也可以参与。
恶意软件作者通过恶意滥用它硬币矿工从二进制dp.exe在另一个不同寻常的重定向链。实际上,它涉及到bit . ly网址缩短服务来检索一个假的PNG图像包含指令下载并最终推出的矿工。
“C: \用户\[用户]\ AppData \ \ bvhost \ bvhost徘徊。exe”- o etn-eu2.nanopool.org: 13333 - u etnkKc…
概述Electroneum矿工的部署
结论
随着cryptocurrencies变得越来越流行,我们只能期望看到恶意硬币矿工的增加,由金融收益和增加匿名的前景。采矿过程已成为跨平台和使用普通电脑可以实现的,这对于威胁演员开启了新的可能性。确实,他们可以把成千上万的被感染的计算机工作矿业的最新和最热的数字货币。
对最终用户来说,一枚硬币矿工感染的威胁似乎有效的比,说,银行木马,但也许这只是真正的在短期内。不仅可以现有的恶意软件下载额外的载荷随着时间的推移,但非法收益cryptomining罪犯的生态系统,导致融资成本数以十亿美元计的损失。
这个特殊的钻井平台EK运动最引人注意的就是关注cryptominers和它不依惯例地,有时效率加载它们。我们将继续监控下载型景观报告任何改变有效载荷从其他演员的威胁。
非常感谢@hasherezade帮助学习的二进制文件。
妥协的指标
钻机EK滴管
FD4A117EDFEA1075132CF7D0A2AD5376B174AFD1C924D91E9B0D124320E3177D
下载脚本重定向
5.101.179.249 * .lolkekss (。我们有些ly / 2 lxcguy (。)
下载脚本Electroneum矿工(假PNG)
lolkekss.usite pro / DF (。)。png 195.216.243.130
Electroneum矿业公司(bvhost.exe)
74.115.50.111 115776615 - 884492032168661957. preview.editmysite [。]com/uploads/1/1/5/7/115776615/be 13 ce8c6c8e9e4a06880a5f445a391e9e26bb23fcd0c6f4cc495aa5b80e626c0b
Monero矿业公司(series64.exe)
188.225.46.219:3000 /文件/ mh / series64。exe F651B1C5AE7B55B765994EB6630C45A0A7F1E43EBABD801CB8B3B26BDDB09D17
额外的矿工装入器通过钻机EK (SHA256大小的字节,发现日期):
24 ff04ef166cbc94d88afd0c7a3cba78dfe2f2d9e02a273a60fcc45ced5cb484, 1732969, 2017-12-29 d68c5095bd7b82e28acd4df5514a54db6d6d340ada860b64b932cb014fe1ecb3, 1513983, 2018-01-02 5 c32e0d2a69fd77e85f2eecaabeb677b6f816de0d82bf7c29c9d124a818f424f, 1732965, 2018-01-02 2876 ceb760c5b37e03ebb3cabbfb25a175e8c3556de89af9dd9941fda183bc79, 1840725, 2018-01-03 bba35503156eee0aa6ecef7aa76bbe3e6d26791585aac328f895278cd1c09cb2, 2819600, 2018-01-04
评论