新型挖礦工具 Digmine 正在大肆傳播，警惕Facebook聊天內容

趨勢科技最近又發現一個新型的加密貨幣挖掘工具 Digmine，它正通過桌面窗口聊天工具Facebook Messenger進行傳播。Digmine最初出現在韓國，韓國安全研究員將它命名為「???????bot」，其次在越南，亞塞拜然，烏克蘭，越南，菲律賓，泰國和委內瑞拉等地區紛紛出現。

雖然Facebook Messenger可以在不同平台之間運行，但Digmine僅影響在Chrome上運行的Facebook Messenger。如果Digmine在其他平台（如移動平台）上打開，則將無法正常運行。

Digmine內置了一個門羅幣挖礦軟體和一個惡意+的Chrome擴展，設法儘可能駐留在用戶系統中，以便伺機感染更多的用戶設備。

Digmine的攻擊鏈

受害者通常會收到一個名為video_xxxx.zip的文件（其中xxxx是一個四位數字）。該檔案隱藏了一個EXE文件。用戶不小心運行該文件就會感染Digmine。

Digminer是用AutoIt編寫的，除了聯繫遠程命令和控制（C&C）伺服器獲得指令外，幾乎沒有其他功能。

偽裝成視頻的攻擊策略

Digmine 在 AutoIt 中編碼， 給用戶發送假冒視頻文件。但實際上該文件是一個 AutoIt 可執行腳本，若用戶的 Facebook 帳號設置為自動登錄，那麼 Digmine 將可以操縱 Facebook Messenger，以便將文件的鏈接發送給該帳號的好友，達到感染更多用戶設備的目的。

通過Facebook Messenger（頂部）發送的Digmine鏈接以及偽裝成視頻的文件（底部）

Digmine只是一個下載程序，它將首先連接到C＆C伺服器以讀取其配置並下載多個組件。初始配置包含下載組件的鏈接，其中大部分也都託管在同一個C＆C伺服器上。它將下載的組件保存在％appdata％ 目錄中。

下載的配置（頂部）和下載的組件（底部）

Digmine還將執行其他進程，如安裝註冊表自動啟動機制以及系統感染標記。它將搜索並啟動Chrome，然後載入從C＆C伺服器檢索到的惡意瀏覽器擴展。如果Chrome已在運行，則惡意軟體將終止並重新啟動Chrome，以確保擴展程序已載入。通常情況下，Chrome插件只能從Chrome官方插件庫下載及安裝。但事實證明，攻擊者仍通過使用Chrome命令行參數成功安裝了這個惡意插件。

自動啟動註冊表項中的Digmine下載程序組件（頂部）以及指示惡意軟體感染系統的標記（底部）

當前正在運行的Chrome進程被終止（頂部），然後用參數重新載入Chrome來載入擴展（底部）

擴展將從C＆C伺服器讀取它自己的配置，它可以指示擴展程序繼續登錄到Facebook或打開將播放視頻的虛假頁面。

經過偽裝的視頻網站也是C＆C結構的一部分，這個網站會偽裝成是一個視頻媒體網站，但其實它包含了很多惡意軟體組件的配置。

偽裝的視頻網站的配置鏈接

瀏覽器擴展使用的初始配置

Digmine的傳播機制

這個Chrome瀏覽器插件的主要作用是訪問受害者的Facebook Messenger配置文件，並向受受害者的所有聯繫人發送包含video_xxxx.zip文件的消息。

研究人員表示，這種自我傳播機制只適用於使用Chrome瀏覽器登錄Facebook Messenger且選擇了默認自動登錄的受害者。如果受害者僅僅是使用Chrome瀏覽器登錄，但並沒有選擇默認自動登錄，則這種機制是無效的。因為，在這種情況下，它無法進入Facebook Messenger的消息編輯及發送界面。而在默認自動登錄的情況下，惡意軟體會通過從C＆C伺服器下載附加代碼來完成。

由於可以添加更多的代碼，Digmine與Facebook的相互相應可能會在未來出現更多的攻擊功能。

從C＆C伺服器獲取的允許與Facebook交互的附加代碼

挖掘組件

研究人員表示，目前，Digmine會從C＆C伺服器下載兩個關鍵組件：一個門羅幣挖礦工具和一個Chrome瀏覽器插件。同時，Digmine還會添加一個基於註冊表的自啟機制，並安裝這兩個組件。

挖礦模塊將由挖礦管理組件codec.exe下載，它將被連接到另一台C＆C伺服器來檢索挖礦及其相應的配置文件。

挖礦組件miner.exe是一個被稱為XMRig的開源門羅幣挖礦工具的迭代，此次的挖礦工具被重新配置為使用config.json文件執行，而不是直接從命令行接收參數。

挖礦配置（頂部）和codec.exe代碼啟動的挖礦組件（底部）

C＆C通信和協議

下載程序和挖掘管理組件都使用特定的HTTP標頭進行通信，下載初始配置時，惡意軟體在發送到C＆C伺服器之前會構造HTTP GET請求。

GET /api/apple/config.php HTTP/1.1

Connection: Keep-Alive

Accept: */*

User-Agent: Miner

Window:

ScriptName:

OS:

Host:

Facebook正努力阻止Digmine傳播

Digmine 挖礦工具被披露後，Facebook 迅速從其平台上刪除了許多與 Digmine 相關的鏈接。 Facebook 在官方聲明中表示， 目前 Facebook 維護了許多自動化系統，以幫助阻止有害鏈接和文件。不過，這僅僅是一種緊急解決措施，攻擊者完全可以創建一個新的連接來開展Digmine的分發活動。

Facebook發言人說：

未來的攻擊趨勢預測

加密貨幣的興盛，也讓這裡成了攻擊者的新戰場，從目前的趨勢來看，很多攻擊者都在傳播惡意軟體時，順便挖點礦，實現攻擊利益的最大化，我相信這種模式未來會成為流行模式。

IoCs

TROJ_DIGMINEIN.A（SHA256）的哈希：

beb7274d78c63aa44515fe6bbfd324f49ec2cc0b8650aeb2d6c8ab61a0ae9f1d

BREX_DIGMINEEX.A（SHA256）的哈希：

5a5b8551a82c57b683f9bd8ba49aefeab3d7c9d299a2d2cb446816cd15d3b3e9

TROJ_DIGMINE.A（SHA256）的哈希：

與Digmine相關的C＆C伺服器（包括子域名）：

vijus[.]bid

ozivu[.]bid

thisdayfunnyday[.]space

thisaworkstation[.]space

mybigthink[.]space

mokuz[.]bid

pabus[.]bid

yezav[.]bid

bigih[.]bid

taraz[.]bid

megu[.]info

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！