五千臺電腦淪為挖礦「黑勞工」

文|凱爾

編輯|文刀

加密貨幣業興起，不但帶來一個新興市場，也引誘來唯利是圖的黑產團夥，其中之一是挖礦木馬。

 

近日，騰訊安全御見威脅情報中心發文稱，他們檢測到通過社會工程騙術傳播的「老虎」挖礦木馬（LaofuMiner）。攻擊者將遠控木馬程序偽裝成「火爆新聞」、「色情內容」等文件名，在網絡上大肆傳播，不慎點擊者便會立即中招，電腦變得異常卡頓，淪為給黑產團夥挖礦的苦力。

 

據統計，「老虎」木馬已感染超過5000臺電腦。通過溯源發現，「老虎」的前身為2018年出現的「灰熊」木馬，當時「灰熊」曾感染近10萬主機，通過挖門羅幣，獲取了至少38萬元的非法收入。

 

除了「灰熊」、「老虎」外，KingMiner、BlueHero、「快Go礦工」等木馬挖礦程序屢見不鮮。有安全人士透露，由於部分木馬已在黑產圈開源，作惡成本降低，病毒危害加劇，每個人都可能成為「受害者」。

業內人士呼籲，在發展加密貨幣行業之時，行業建立者也應共同抵製作惡行為，加強安全普及，提升安全係數。

公司文員趙路不耐煩地點擊、移動滑鼠，可滑鼠箭頭壓根不聽使喚，在電腦屏幕上龜速移動，畫出一道道重影。前一天，電腦還好好的，突然「變成了磚」，趙路很著急。他打開資源管理器，發現CPU佔用率達到了97%，他並沒有運行什麼大型軟體，反覆重啟多次，問題仍未解決。遭遇電腦系統嚴重卡頓的趙路並不知道，此時電腦高速運轉的CPU，正在進行大量計算來「挖礦」。這是一個離他認知有一些距離的產業——加密貨幣挖礦。在近十年的時間，該產業在一個還算不得龐大的幣圈裡流行。與趙路有相同遭遇的人不在少數。他們分布在北京、廣東、上海、河南、山東等地，手中的一臺臺電腦開機即挖礦，挖來的幣則落入了黑產團夥的錢包。這些電腦感染了近期流行的一種木馬病毒。騰訊安全御見威脅情報中心（下稱「騰訊御見」）通過層層解剖發現，黑產團夥挖礦使用的自建礦池包含字符「laofubtc」，因此，他們將其命名為老虎挖礦木馬。據騰訊御見統計，截至12月5日，老虎挖礦木馬已感染超過5000臺電腦。攻擊者將遠控木馬程序偽裝成「火爆新聞」、「色情內容」、「隱私資料」、「詐騙技巧」等文件名，通過社交網絡發送到目標電腦，受害者雙擊查看文件後，會立刻被安裝遠程控制木馬。而後，攻擊者通過遠控木馬控制中毒電腦，下載挖礦木馬，這些電腦隨即淪為「礦工」。從手法上看，這是一場在社交網絡上傳播的無差別攻擊。騰訊御見總結了部分釣魚攻擊文件名，包括「某博彩公司被襲擊」、「小姐姐視頻」、「會員資料」及「變聲器」等。這些抓人眼球的文件名全部與加密貨幣行業沒有直接關聯，中毒電腦的主人在出於獵奇心理點擊後，就可能成為幫助黑產團夥賺錢的「黑勞工」。

騰訊御見披露，病毒攻擊者非常狡猾。在挖礦木馬文件植入電腦後，該文件將偽裝成音頻設備公司「Waves Audio」，首次執行後，會用垃圾數據「增肥」到150MB，以此逃避殺毒軟體檢測。礦機程序文件則被偽裝成顯卡製造商英偉達（NVIDIA）的驅動程序。一般來說，電腦用戶都認為英偉達的驅動是安全且必要的，不會隨意刪除，因此很難識破和處理。目前，尚未得知上述黑產團夥通過「老虎木馬」挖的是什麼幣。儘管該挖礦程序中出現了「laofubtc」字符，但加密行業人士認為，用電腦CPU挖比特幣（BTC）的可能性不大，「現在早就過了電腦挖比特幣的時代，5000多臺電腦組成的分布式礦池，可能還不如幾十臺好的礦機。」

騰訊御見溯源查詢發現，「老虎」挖礦木馬的文件伺服器baihes.com指向的IP為 46.4.156.44。該IP在2018年就引起過安全人士的注意，當時一個名為「灰熊」的挖礦木馬BearMiner，其域名miner.gsbean.com也與上述IP直接相關。

 

騰訊御見推測，「灰熊」和「老虎」屬於同一團夥, 「老虎」替代「灰熊」挖礦木馬，呈現了新的活躍趨勢。

 

2018年7月，深信服安全專家（下稱「深信服」）首次曝光了「灰熊」挖礦病毒。「灰熊」偽裝的方式與「老虎」異曲同工，能繞過主流的殺毒軟體，並且潛伏數月。

「灰熊」的危害性更強，據深信服統計，「灰熊」感染的主機近10萬臺，中毒主機多表現為異常卡頓，嚴重影響主機性能。

 

深信服將該病毒的危害等級劃分為「高危」，查殺難度為「難」。據披露，當時「灰熊」挖的幣主要是匿名幣門羅幣（XMR）。與比特幣不同，門羅幣的挖礦門檻低，且容易上手，使用家用電腦便可通過CPU和顯卡來挖礦。

 

此外，由於所有的門羅交易都使用隱蔽地址來保護接收者的隱私，以致黑產團夥挖得的幣，難以追蹤去向。

 

根據深信服去年7月份的統計數據，「灰熊」病毒在當時挖了420個門羅幣。按當時927元的幣價換算，攻擊者通過木馬病毒非法挖礦所得超38萬元，而這花費的成本並不高。

 

在黑產圈，名為「大灰狼」的遠程控制木馬是較為流行的遠程控制工具，「老虎」病毒也正是通過這個遠控工具，在受害者的電腦中植入病毒。

據傳，「大灰狼」的原始作者已去世，但相關代碼已流落黑產圈，還開源共享起來。不同的病毒木馬團夥對其定製改造後，衍生出諸多變種，無形中減少了黑產團夥開發病毒的成本。

除了「灰熊」、「老虎」之外，這幾年，KingMiner挖礦木馬、BlueHero挖礦蠕蟲病毒、「快Go礦工」等木馬程序屢見不鮮。2018年底，湖南衡陽市公安局石鼓分局還曾破獲一起病毒挖礦案件，某計算機專業畢業生，通過給網吧電腦裝木馬，遠程挖礦獲利上億元。

 

 

在社交網絡發達的今天，人們每天都會接觸大量的信息，一不小心，就可能成為黑客的「挖礦苦力」。當你發現電腦突然出現嚴重卡頓的異常，你的電腦很可能在為別人緊鑼密鼓地創造不當利潤。

 

安全專家提示，網際網路用戶不要隨意打開來歷不明的文件。在點開文件之前，建議打開資源管理器文件夾選項，「查看已知文件的擴展名」。當發現文件圖標為Office、音樂、視頻文件，而文件的擴展名為「exe、com、pif、bat」時，即可立刻判斷為危險文件，應立即刪除，並使用殺毒軟體查殺。

 

區塊鏈和數字貨幣的興起，讓「挖礦」成為一個新興產業且逐漸繁榮。利益往往容易滋生罪惡，挖礦木馬、黑客盜幣、暗網交易等事件層出不窮，「黑產」也是這個新興行業的「硬幣背面」。

 

業內人士呼籲，在新技術、新行業初生之時，行業參與者應共同提升安全技術儲備，共同抵制黑客、黑產的作惡行為；專業的安全團隊不妨成立安全聯盟，向大眾普及基本的網絡安全常識，加強對新病毒的公示和預警，以免不了解加密貨幣的公眾淪為挖礦的「黑勞工」。

你遭遇過挖礦木馬嗎？