半天感染50萬設備！Dofoil挖礦變種瘋狂來襲！

E安全3月13日訊 微軟當地時間2018年3月7日發布博文稱發現大規模加密貨幣挖礦企圖，Dofoil 木馬變種攜帶挖礦程序的 Payload 濫用受害者的CPU進行挖礦，該變種僅用12個小時就感染了近50萬台設備，微軟表示這一活動已被 Windows Defender（Windows 7、8.1和10）阻止。

Dofoil變種瘋狂感染俄羅斯設備

Dofoil（又名 Smoke Loader）是一款用來下載其它惡意軟體的應用程序，2011年開始浮出水面。這款軟體通常通過垃圾郵件活動和漏洞利用工具進行傳播。當 Dofoil 安裝就緒後，便會用命令與控制（C&C）伺服器的最近更新將自己替換，從而加大檢測難度。

Windows Defender 3月6日利用基於行為的信號和機器學習模型檢測到約8萬個 Dofoil 變種實例，隨後在12小時內實例數量猛增至40多萬個。這波攻擊主要針對的是俄羅斯、土耳其和烏克蘭的計算機，其比例分別為73%、18%和4%。

巧妙規避監測

在這起攻擊中，Dofoil 被發現在受感染的以太幣挖礦電腦中釋放挖礦程序，將其作為 Payload，從而濫用受害者的 CPU。為了躲避檢測，這些變種將自己偽裝成合法的 Windows 二進位文件，實則攜帶有加密貨幣挖礦 Payload。研究人員指出，Dofoil 木馬使用代碼注入技術，利用惡意代碼生成一個合法進程的新實例以便運行惡意代碼，欺騙進程工具以及反病毒工具，讓其誤以為運行的是原進程。

微軟方面表示，運行 Windows 7、8.1和10的用戶受到 Windows Defender AV 或 Microsoft Security Essentials 的保護，建議用戶升級到最新的操作系統。

加密貨幣挖礦成風

自2017年以來，比特幣勢如破竹，價格漲幅超過10倍。全球各地的消費者躍躍欲試，都想在比特幣市場分一杯羹，之後比特幣熱度稍適減退，門羅幣等數字貨幣也越來越受礦工們的青睞，加密貨幣的價格不斷上升，攻擊者也比以前顯得更有「動力」。2017年5月以來活躍的勒索軟體攻擊方式正在被加密貨幣挖礦程序攻擊逐步替代，這種現象也引發出大量安全隱患。

何為挖礦？

以比特幣為例，開採比特幣就像開採黃金，需要投入工作才能獲得報酬。但這裡所說工作並非勞力勞動，而是利用自己的時間和計算機處理能力賺取比特幣。「礦工」肩負著維護、保護比特幣的去中心化會計系統的責任。每當有比特幣交易時，都會記錄在被稱為區塊鏈的數字分類賬中。礦工下載一款特殊軟體核實並收集新的交易，並將其添加到區塊鏈，從而更新這個數字分類賬。此後，礦工必須解決一個數學難題，即將交易區塊添加到鏈中。礦工以此賺取比特幣和交易費。

挖礦的安全風險？

隨著比特幣等數字貨幣日趨成熟，挖礦也會變得更具挑戰性。一開始，用戶可能會利用家用電腦挖礦賺取可觀的數字貨幣，但隨著數學問題變得太過複雜進而需要大量昂貴的計算能力。

安全風險也隨之而來。由於礦工需要越來越多的計算能力賺取比特幣，一些礦工開始感染公共 WiFi 網路，以此訪問別人的設備來挖幣。而這樣的案例就發生在阿根廷首都布宜諾斯艾利斯一家咖啡店，遭遇惡意軟體感染後該咖啡店的 WiFi 網路存在10秒的登錄延遲，惡意軟體作者則利用這個延遲時間來訪問用戶的筆記本進行挖礦。

除了公共 WiFi 網路，曾有數百萬個網站被挖礦程序感染用來訪問用戶的設備進行挖礦，而這已經成為廣泛存在的問題。據傳，超過10億台設備被基於 Web 的挖礦程序感染，導致運行速度變慢。然而，運行變慢並不是最壞的情況。遭遇「挖礦劫持」可能會佔用設備100%的資源，導致設備過熱，最終損壞設備。

如何預防「挖礦劫持」？

不瀏覽非法（明顯具有誘惑性的）網站。

定期清理瀏覽器，清除所有的本地緩存，查殺病毒。

安裝防火牆和防病毒軟體，建議病毒庫設置為實時更新。

絕大多數家庭都忽略無線路由器的安全問題，這些無線路由器可被攻擊者用來傳播惡意軟體，建議定期關閉路由器電源或者進行路由器重啟。

勿訪問公共 WiFi 網路，這些網路通常不安全，尤其是那些不經安全驗證就可連接的網路。

使用 VPN，考慮在家庭或工作網路以外的地方使用 VPN。這樣的安全連接能確保第三方無法攔截或讀取數據。

保護設備，比特幣惡意軟體這類新威脅一直在不斷浮現，建議用戶關注最新的威脅信息。

註：本文由E安全編譯報道,轉載請註明原文地址

https://www.easyaq.com/news/222734812.shtml

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！