一个庞大的僵尸网络正利用YouTube挖掘门罗币XMR
文 | 孙曜
火星财经APP(微信:hxcj24h)一线报道,网络安全公司ESET表示,Stantinko僵尸网络已将加密采矿功能添加到其犯罪活动中,他们正利用YouTube的描述文本代理分发加密采矿模块,该模块可开采隐私币门罗(Monero)。
网络安全公司ESET近期发布的一份报告(Stantinko Botnet Adds Cryptomining Criminal Activities)揭露,Stantinko僵尸网络的操纵者使用了一种新手段扩展他们的工具集,并在其控制的用户终端中分发了一个加密采矿模块,这个采矿模块可以用来挖掘门罗币(Monero)。报告指出至少自 2018 年 8 月以来,这种方式代替传统的点击欺诈,广告注入,社交网络欺诈和密码窃取,成为僵尸网络的主要获利功能。
Stantinko僵尸网络最初于 2017 年被发现(尽管自 2012 年以来一直秘密的运行),据报道已感染了全球超过 50 万台设备,主要针对俄罗斯,哈萨克斯坦,白俄罗斯和乌克兰的终端。ESET在报告中表示,Stantinko新模块的混淆方式阻碍了分析并避免了检测,由于源级混淆的使用具有一定的随机性,而且Stantinko的运算符会为每个新的受害者编译此模块,因此该模块的每个样本都是唯一的。所以目前追踪它的每个微小的改变都异常艰难。
ESET报道的Stantinko利用youtube挖掘门罗币事件与此前的Coinhive事件不同,Stantinko使用的采矿模块是xmr -stak开源矿机的高度修改版本,该模块通过挖掘加密货币来耗尽受感染机器的大部分资源。为了逃避检测,删除了所有不必要的字符串甚至整个功能。其余的字符串和函数被严重混淆。ESET安全产品将此恶意软件检测为Win {32,64} /CoinMiner.Stantinko。
CoinMiner.Stantinko不会直接采矿池通信,而是通过其IP地址从YouTube视频的描述文本中获取的代理进行通信。ESET表示银行恶意软件Casbaneiro使用了一种类似的技术来隐藏YouTube视频描述中的数据。Casbaneiro使用看起来更为合法的渠道和描述,但目的大致相同:存储加密的C&Cs。
ESET表示已将黑客使用视频编码手段告知YouTube;包含这些视频的所有频道均已被删除。