站長資訊網近期,騰訊安全御見威脅情報中心接到用戶求助,稱自己收到網友發來的“存取款記錄”消息,出于好奇便點擊打開了其中以.exe為后綴的文檔,發現并無“猛料”,自己卻落入了不法黑客的陷阱之中。
騰訊安全御見威脅情報中心近日監測發現一款通過社會工程騙術傳播的“老虎”挖礦木馬。攻擊者將木馬程序偽裝成“火爆新聞”、“ 內容”、“隱私資料”、“詐騙技巧”等虛假文件名,通過社交網絡發送到目標電腦,得手后植入大灰狼遠控木馬等惡意程序,竊取大量用戶個人隱私信息,中毒電腦更可能遭到遠程控制。目前,該木馬已感染超5000臺電腦。因其挖礦使用的自建礦池包含字符“laofubtc”,騰訊安全技術專家將其命名為“老虎”挖礦木馬(LaofuMiner)。
據騰訊安全御見威脅情報中心監測數據統計,此次有數千家企業受到“老虎”挖礦木馬攻擊影響,北京、廣東、上海、河南、山東等地,成為本次攻擊受害較嚴重的區域。目前,騰訊電腦管家、騰訊安全終端安全管理系統已全面攔截并查殺該挖礦木馬,同時提醒廣大用戶保持安全警惕,切勿點擊觀看該類虛假文件以防中招。
(圖:騰訊安全終端安全管理系統)
騰訊安全專家經過深入溯源分析后,發現“老虎”挖礦木馬同2018年發現的灰熊挖礦木馬(BearMiner)二者的文件服務器和礦池域名都指向相同的IP,可以推測“灰熊”和“老虎”挖礦木馬同屬一個黑產團伙。近日,“老虎”替代“灰熊”挖礦木馬呈現新的活躍趨勢。
(圖:“老虎”挖礦木馬指向解析IP的域名列表)
據騰訊安全專家介紹,“老虎”挖礦木馬善于偽裝,利用多種欺騙手段隱藏自己,令普通用戶難覓蹤跡。首先該挖礦木馬會將文件屬性偽裝成音頻設備公司“Waves Audio”的相關信息,并在首次執行后寫入大量垃圾數據到150MB,以此逃避殺毒軟件檢測。此外,釋放礦機程序文件還會偽裝成顯卡制造商NVIDIA的驅動程序,占用CPU資源高達97%,以此躲避查殺,導致系統嚴重卡頓無法正常運行。
在此次攻擊案例中,“大灰狼”遠控木馬作為一款老牌遠控工具,時至今日仍備受黑產圈喜愛。據報道,目前該木馬原始作者已經離世,但相關代碼已流落黑產圈開源共享,不同的病毒木馬團伙對其定制改造后發布了諸多變種肆意作惡。值得注意的是,該團伙經常使用漏洞、釣魚文檔等手段傳播木馬,同時經營外掛、私服、流量劫持、后門安裝等非法交易,嚴重威脅用戶的信息財產安全。
隨著黑產團伙技術手段不斷的進化,不管是對攻擊目標精挑細選,還是對技術手段不斷升級,黑產團伙的核心目的還是在于感染更多用戶電腦,攫取更高的收益。因此,如何抵御黑產攻擊成為企業日常網絡安全建設工作的重中之重。
面對來勢洶洶的“老虎”挖礦木馬,騰訊安全反病毒實驗室負責人馬勁松提醒廣大用戶保持良好的上網習慣,不要輕易點擊來歷不明的文件,對于可疑文件可使用騰訊電腦管家和騰訊安全終端安全管理系統進行安全檢測。同時,打開資源管理器文件夾選項中的“查看已知文件的擴展名”,可及時判斷文件是否安全。對于已經“中招”的用戶,可以使用騰訊電腦管家等主流殺毒軟件進行查殺清理。或采用手動清理方案,刪除以下文件:C:Program Files (x86)Microsoft WavesSysWavesSys.exe、C:Program Files (x86)Microsoft WavesSysWavesSys.dll、C:Program Files (x86)Microsoft SvidaPaunSvidaPaun.exe、C:Program Files (x86)Microsoft HdejppXtuzqan.exe。刪除以下服務:”Corporati Assemblies WavesSyse“、“Wszswc wyksdvuf”、“Wsxxsw ndcbxauv”。
(圖:騰訊安全高級威脅檢測系統)
同時,建議企業用戶使用騰訊安全高級威脅檢測系統,基于騰訊安全在云和端的海量數據積累形成的獨特威脅情報和惡意檢測模型系統,可幫助企業客戶預先檢測挖礦程序外聯等異常行為,防患于未然。
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
