一個龐大的僵尸網絡正利用YouTube挖掘門羅幣XMR
文 | 孫曜
火星財經APP(微信:hxcj24h)一線報道,網絡安全公司ESET表示,Stantinko僵尸網絡已將加密采礦功能添加到其犯罪活動中,他們正利用YouTube的描述文本代理分發加密采礦模塊,該模塊可開采隱私幣門羅(Monero)。
網絡安全公司ESET近期發布的一份報告(Stantinko Botnet Adds Cryptomining Criminal Activities)揭露,Stantinko僵尸網絡的操縱者使用了一種新手段擴展他們的工具集,并在其控制的用戶終端中分發了一個加密采礦模塊,這個采礦模塊可以用來挖掘門羅幣(Monero)。報告指出至少自 2018 年 8 月以來,這種方式代替傳統的點擊欺詐,廣告注入,社交網絡欺詐和密碼竊取,成為僵尸網絡的主要獲利功能。
Stantinko僵尸網絡最初于 2017 年被發現(盡管自 2012 年以來一直秘密的運行),據報道已感染了全球超過 50 萬臺設備,主要針對俄羅斯,哈薩克斯坦,白俄羅斯和烏克蘭的終端。ESET在報告中表示,Stantinko新模塊的混淆方式阻礙了分析并避免了檢測,由于源級混淆的使用具有一定的隨機性,而且Stantinko的運算符會為每個新的受害者編譯此模塊,因此該模塊的每個樣本都是唯一的。所以目前追蹤它的每個微小的改變都異常艱難。
ESET報道的Stantinko利用youtube挖掘門羅幣事件與此前的Coinhive事件不同,Stantinko使用的采礦模塊是xmr -stak開源礦機的高度修改版本,該模塊通過挖掘加密貨幣來耗盡受感染機器的大部分資源。為了逃避檢測,刪除了所有不必要的字符串甚至整個功能。其余的字符串和函數被嚴重混淆。ESET安全產品將此惡意軟件檢測為Win {32,64} /CoinMiner.Stantinko。
CoinMiner.Stantinko不會直接采礦池通信,而是通過其IP地址從YouTube視頻的描述文本中獲取的代理進行通信。ESET表示銀行惡意軟件Casbaneiro使用了一種類似的技術來隱藏YouTube視頻描述中的數據。Casbaneiro使用看起來更為合法的渠道和描述,但目的大致相同:存儲加密的C&Cs。
ESET表示已將黑客使用視頻編碼手段告知YouTube;包含這些視頻的所有頻道均已被刪除。
<