恶意软件正在瞄准加密货币挖矿行业
扫描二维码
随时随地手机看文章
加密货币继续成为头条新闻,而且通常是出于一些不好的现象。随着加密货币的价值继续波动,我们看到大量新的加密恶意软件持续出现。这反映了现代恶意软件的演变,各种变体攻击全球的计算机系统,劫持它们去挖掘加密货币,并利用受害者的资源。加密恶意软件实际上是在赚钱。
毫无疑问,由于数字货币提供了一定程度的匿名性,而且相当赚钱,加密恶意软件一直在激增。但这可能只是所有恶意软件中最糟糕的。在这个加密恶意软件的新时代,当终端用户访问受感染的站点时,他们只需使用终端用户的设备来挖掘加密货币。
越来越多的网站开始通过访问者来进行加密货币开采,而不是通过广告为他们的业务提供资金。最近,受欢迎的torrent网站“海盗湾”(Pirate Bay)运营着bitcoin-miner,作为广告的替代品,为该公司提供资金。这种新的创收方案导致用户的中央处理器(cpu)和电力使用急剧增加,同时降低了设备的性能。巧的是,广告收入正在显著下降。
如果你没有听说过比特币,那你一定是与世隔绝了。它无疑是最著名的加密货币,它是由“挖掘”产生的。“我所说的挖掘,是指利用大量能量和处理能力来验证事务的计算密集型任务。”成功的矿工会得到一枚“硬币”作为奖励,这枚硬币会被添加到数字钱包中——或者,在加密的情况下,被劫持到黑客的数字钱包中。这是首次,恶意软件可以直接为罪犯“印钱票”。
就其本身而言,个人电脑的功能还不足以通过开采加密货币来赚钱——关键字是“赚钱”。“正确地开采需要专业的设备,包括专业的硬件和大量的电力。请注意,现在有不同的加密货币算法,其中一些算法比其他算法更密集,需要更多的计算能力。
这些是如何发生的?
一般来说,恶意软件是通过某些事件访问计算机。一种招募方式是通过第三方应用程序和插件。例如,超过5000个澳大利亚和全球政府网站被植入Coinhive加密货币开采软件,就是通过browseloud的插件。
这是一个很大的转折,坏人不再需要按照以前的做法。而是,通过使用浏览器来植入挖掘代码即可,用户在加载受感染的页面时就会被迫挟持。代码在后台运行,这使得检测非常困难。软件现在是一把双刃剑。只要用户在网站上,恶意软件就会运行,而用户也不知道软件是什么时候运行的。
然而,Malwarebytes研究人员Jerome Segura最近发现了一种简单的技术,这种技术允许即使在窗口关闭后仍然继续挖掘。诀窍在于创建一个弹出式隐藏窗口,该窗口的大小正好适合任务栏,并将其隐藏到用户的视图中。
这些加密货币的矿工们利用计算机的资源,使他们能够工作,挖掘货币。不幸的是,当用户的硬件和电力被用来为挖矿赚钱时,用户却得不到任何好处。相反,它们使计算机性能和组件方面降低了。
这是对所谓的第三方软件的长期关注。许多组织允许应用程序编程接口(api)和其他插件进入它们的系统和/或环境。再加上通过库交付此类软件,这意味着插件可以被篡改或被受感染的软件取代。任何组织都应该专注于检查和验证插件和第三方软件的使用,这是管控数字风险的一种谨慎的方法。
现在可以部署许多保护机制来防止加密货币采矿软件的恶意传播,但目前最好的选择是阻止已知的挖掘领域。需要付出一些努力的做法,一个更好的选择就是将这些站点添加到操作系统的主机文件中,以便这些域重定向到本地主机,从而有效地使代码加入到黑名单中。
企业也可以禁用JavaScript。但是,许多网站需要JavaScript来实现部分或全部功能。不过,如果禁用了JavaScript,任何基于JavaScript的加密货币挖掘程序都不能运行。
尽管网页浏览器集成了反加密恶意软件的功能,但大多数常见的浏览器都不会检测或阻止加密挖矿程序。然而,当用户访问网页时,一些反恶意软件和反病毒程序可以检测和屏蔽密码劫持代码。
在网页浏览器上安装广告拦截、反加密挖掘扩展可以有效地阻止此类脚本的运行。这里的关键是采用高度重视和维护的供应商,以确保它会定期更新,不会演变成广告软件噩梦。Firefox、Chrome和Opera都有“No Coin”的扩展功能,但遗憾的是微软和苹果都没有。Ad-blocking扩展和Adblock Plus还可以检测加密挖掘的脚本。
变化着的环境
需要注意的是,加密挖掘恶意软件采用了与其他许多网络威胁相同的操作方式:它们都利用了漏洞,包括从恶意垃圾邮件到第三方垃圾软件或篡改插件的所有漏洞。例如,Adylkuzz利用了EternalBlue漏洞和DoublePulsar的后门——这个安全漏洞与ransomware以前使用过的一样。与此同时,CPUMiner使用了SambaCry, WannaCry的Linux续集,利用了一个开源网络应用Samba中的漏洞。
早些时候,我提到了一个合理的解释,为什么有些网站可能使用加密货币的挖掘程序来赚钱。这当然是一个有趣的交换,一些网站用很多广告来轰炸访问者。理想的情况是,网站会通知访问者,一个矿机正在运行,使用户在知情的情况下做出决定。毕竟,没有人喜欢被人利用。
这些挖矿程序被武器化,并被用于除了创造收入之外的更邪恶的目的,这个只是时间问题。与早期的垃圾邮件类似,随着恶意附件的增加,垃圾邮件数量也稳步增长。