在分析遙測數據時,Doctor Web 的病毒分析師識別出一些惡意軟體樣本。
進一步調查發現,這些樣本實際上是活躍的 門羅幣(Monero)加密貨幣挖礦活動 的一部分。
這個活動之所以引人注意,是因為它由一系列惡意軟體鏈組成,其中兩條是基於執行從 BMP 圖片文件中提取惡意內容的腳本。
這個活動很可能在 2022 年開始,當時分析人員首次觀察到名為 Services.exe 的 .NET 應用程式,它會啟動一個惡意的 VBScript。
這個腳本作為後門與攻擊者的伺服器進行聯絡,並執行伺服器返回的腳本和文件。
例如,一個名為 ubr.txt 的 PowerShell 腳本(其副檔名被改為 txt)被下載到受害者的電腦上。
sbr.txt 腳本會檢查是否已有挖礦程式安裝在受感染的系統中,並用攻擊者提供的版本取代它們。
該腳本安裝的文件包括 SilentCryptoMiner 挖礦程式及其配置,它們被用來挖掘門羅幣。
在此活動中,挖礦文件被偽裝成各種軟體的組件,例如 Zoom 會議軟體(名為 ZoomE.exe 和 ZoomX.exe)或 Windows 服務文件(Service32.exe 和 Service64.exe)等等。
雖然惡意模組有多種名稱,但它們執行的都是相同的工作:移除其他挖礦程式、安裝新的挖礦程式,以及向它更新。
後來,攻擊者改進了攻擊方法,引入了更有趣的技術 —— 隱寫術(Steganography)。
隱寫術是一種將資訊隱藏在其他資訊內的技術。例如,它可以將資料藏在看似普通的圖片裡,而不會像加密那樣引人注意。
許多資安專家認為,使用隱寫術來躲避防禦的趨勢將會變得更普遍。
在文章中展示的第二條惡意軟體鏈使用了名為 Amadey trojan 的木馬,它執行 PowerShell 腳本 Async.ps1。
該腳本會從合法的圖片託管網站下載 BMP 圖片,並利用隱寫術算法從圖片中提取出兩個可執行檔:
✔️ Trojan.PackedNET.2429(一個竊取者程式)
✔️ 一個會執行以下操作的惡意 Payload:
• 禁用 Windows 管理員帳戶控制(UAC)提示
• 在 Windows Defender 防毒中建立多個例外
• 停用系統通知
• 在電腦中建立一個名為 User 的排程任務
這個排程任務會訪問攻擊者控制的網域,並從 DNS TXT 記錄中提取載荷下載鏈接,然後從該位置下載 BMP 圖片資料,並執行其中的惡意內容。
這些挖礦模組持續演進 —— 最新版本甚至開始使用合法資源來保存惡意圖片,並在 GitHub 平台上存放 Payload。此外,分析人員還觀察到部分模組會檢查執行環境是否為沙箱或虛擬機。
文末指出,其中一個挖礦錢包是在 2022 年 5 月建立的,到目前為止已收到 340 XMR(門羅幣)。由於門羅幣匯率波動很大,攻擊者透過這些受感染電腦的收益可能相當可觀。
Doctor Web 文章最後提到,這場活動只是使用隱寫術的網絡威脅世界的一角,提醒用戶應當謹慎:
📌 只安裝可靠來源的軟體
📌 不要點擊可疑鏈接
📌 下載檔案時不要停用防毒保護
原文網址:https://news.drweb.com/show/?i=14976&lng=en
產品購買這邊請:https://reurl.cc/7b8e3k