网络犯罪分子正利用RIG EK大肆传播恶意加密货币挖矿机

“用指尖改变世界”

来自网络安全公司Malwarebytes的安全研究人员Jerome Segura最近分析了一起基于RIG EK(漏洞利用工具包，Exploit Kit)的恶意攻击活动，正通过恶意广告传播恶意加密货币挖矿机(cryptominer)。

根据1月9日的博客文章，在2017年11月左右，Segura开始注意到RIG EK的有效载荷大于平时，这种趋势通过一个名为“Ngay”的恶意活动延续下来。

在Ngay活动中，这些工具包已经开始包含针对一种或多种加密货币的挖矿恶意软件，比如门罗币(Monero)以及其他一些流行加密货币(如Bytecoin和Electroneum)。

另外，研究人员还注意到，网络犯罪分子在Ngay活动中已经开始使用各种更为复杂的重定向技术来诱使受害者点击企图通过RIG EK分发有效载荷的恶意广告链接，并感染其计算机，这些进程能够在单次攻击中挖掘多种加密货币。

通过对RIG EK放置的二进制文件的分析，Segura发现，其中包含有两个主要组件，每个组件都会安装一个不同的恶意加密货币挖矿机，并在特定的程序中启动。这其中就涉及到门罗币以及Electroneum(以利坊)。

门罗币是我们所熟悉的，作为最有名的加密货币之一，与比特币不同，对于它的挖掘并不需要特殊的硬件，并提供额外的隐私优势。

Electroneum则是最近才刚刚推出的新型加密货币，但几乎在推出时就立刻流行了起来。它的Android应用程序允许任何人进行货币挖掘以及管理他们的钱包，同时也可以通过计算机桌面平台参与挖矿。

Segura解释说，如果这两个恶意加密货币挖矿机的可执行文件都处于运行时，受害者计算机CPU的使用率会瞬间达到100%。

但值得注意的是，针对其他一些加密货币的挖矿恶意软件则会表现得更加离散，并不会对用户计算机资源产生如此明显的影响。

Segura指出，这些新的基于恶意软件的挖矿机相比驻留在浏览器中的挖矿机更具优势，因为它们能够在受害者的计算机系统中保持持久性。换句话来说，即使在受害者重启他们的计算机之后，这些挖矿机依然存在，这通常是通过执行恶意代码或修改计划任务注册表项来完成的。

Segura说：“随着加密货币越来越受欢迎，在经济收益的前景和匿名性增强的驱动下，我们只会看到恶意加密货币挖矿机的增加。由于挖矿过程已经变得跨平台，并可以使用普通计算机实现，这为网络犯罪分子开启了新的可能性。”

本文由黑客视界综合网络整理，图片源自网络;转载请注明“转自黑客视界”，并附上链接。