由于单设备的“挖矿”产量有限,别有用心的人将目标瞄向了网络上的NAS设备。此前我们曾报道过多起针对群晖(Synology)NAS产品的恶意/勒索软件,但现在也有一款名叫Mal/Miner-C的恶意软件变种(又称PhotoMiner)被发现将目光瞄向了联网的希捷NAS设备。该恶意软件会借助这个跳板来感染与之相连的计算机,然后偷偷地“挖掘”Monero数字货币。
Miner-C又称PhotoMiner,出现时间在2016年6月份。当时有报道称其针对FTP服务器,试图通过一整套默认的用户名/密码列表,强行将自身散播到新的机器(蠕虫特性)。
在最新的Miner-C版本中,同样的功能仍然存在,但Sophos安全研究人员表示:近期迭代的Miner-C,利用了Seagate Central NAS设备上的一个缺陷,来将自身复制到公共数据文件中。
NAS设备可简单理解为“联网的硬盘驱动器”,允许用户通过本地网络访问文件(但也有部分设备支持开启互联网远程访问)。
据Sophos所述,Seagate Central设备包含了一个允许所有用户访问的公共文件夹,甚至连匿名用户都可以免登陆访问,而且无法禁用或删除。
Miner-C会将自身复制到所有可以查找到的希捷中央NAS设备的公共文件夹上,其中就包括一个伪装成照片文件夹的“Photo.scr”(后缀名表明它其实是一个被恶意代码篡改过的屏保文件)。
由于Windows有着默认隐藏文件扩展名的坏习惯,披着“正经文件夹图标外衣”的恶意脚本很容易被用户错误地执行。
当用户尝试访问该‘文件夹’的时候,实际上运行的是‘Photo.scr’这个恶意文件,最终其计算机被安装上了虚拟货币的挖矿软件(本例中为Monerro)。
Monero是当前颇能盈利的一款‘数字货币’,矿工和黑客们选它为目标也是理所当然。当然这个行业总会遇到瓶颈,比如基于PC硬件的比特币挖矿早在2012年就变得无利可图了。
研究人员发现有7000多台希捷中央NAS设备连上了互联网,这意味着黑客可能已经感染了其中约5000台设备。
由于所有采集到的Monerro数字货币都被存在恶意软件的配置文件中,Sophos得以预估其获利或已达7.66万欧(8.64万美元),约占整个Monero挖矿活动的2.5%。
[编译自:Soft Pedia , 来源:Sophos(PDF)]