駭客利用一般用戶電腦進行挖礦的最新惡劣手法曝光,研究人員發現,駭客會使用假冒的 Adobe Flash 更新通知,秘密地在電腦與網絡植入加密貨幣挖礦惡意軟體,導致受害的用戶電腦變慢、耗費大量時間、系統性能變差,而且功耗大增。
「挖礦綁架 (Cryptojacking)」另闢新手法
雖然附帶惡意軟體的假冒 Flash 更新傳統上很容易被發現和避免,但新的手法採用新把戲,在 Windows 系統上悄悄下載加密貨幣挖礦軟體。
Unit 42 威脅情報分析人員 Brad Duncan 在一篇揭發這種駭客手法的貼文中表示:「最早在 2018 年 8 月,一些假冒 Flash 更新的例子就借用官方 Adobe 安裝的彈出型通知。這些假造的 Flash 更新會植入例如 XMRig 這類加密貨幣挖礦惡意軟體,但是這個惡意軟體也可以將受害者的 Flash Player 更新到最新版本。」
結果這會導致受害人在沒有發現任何異常的情況下,Windows 電腦會悄悄運作 XMRig 挖礦軟體或其他惡意軟體。這種挖礦軟體可能會使受害者電腦的處理器速度變慢、損害硬碟、或提取機密資料並且傳送到其他數位平台,而受害人渾然未知。
假的 Adobe 更新挖礦綁架惡意軟體的技術細節
Brad Duncan 解釋說,目前尚不清楚可能的受害者是如何抵達這些傳遞假 Flash 更新的網址,不過感染過程中的網絡流量主要與詐欺的 Flash 更新有關。受感染的 Windows 伺服器會向 [osdsoft [。] com] 產生 HTTP POST 請求,這個網域與促使加密貨幣挖礦的更新者或安裝者有關。
Brad Duncan 表示,當研究團隊搜尋某些特定的假冒 Flash 更新時,觀察到一些 Windows 可執行名稱開頭為 Adobe Flash Player 的檔案,但這檔案並非來自 Adobe 的雲端網頁伺服器。這些下載的網站通常包含「flashplayer_down.php?clickid =」字串。團隊同時發現,從 2018 年 3 月以來,在 AutoFocus 中發現了 113 個符合這些標準的惡意軟體案例。其中 77 個惡意軟體案例可透過 CoinMiner 的標示被辨別出來,其餘 36 個案例則與 77 個與 CoinMiner 相關的可執行檔案共享其他標示。
Brad Duncan 鼓勵 Windows 用戶要審慎留意他們試圖安裝的 Adobe Flash 更新,因為 Adobe 彈跳式與更新特色讓這類假冒的安裝程式看起來很合理,不過可能的受害者仍將收到關於在 Window 電腦上下載檔案的警告通知。 Brad Duncan 表示:
有良好網頁過濾與受過訓練的使用者,被這類假冒的更新所感染的風險低很多。
McAfee 實驗室先前的報告指出,挖礦綁架在今年第 2 季激增 86%,2018 年迄今比去年全年大增 459% 。