Prowli散布采矿程式、流量诈骗，全球已有4万台设备沦陷

Prowli以获利为目的，一是在被黑装置上植入采矿程式，其次是进行流量诈骗，将使用者流量导至恶意网站，藉由出售用户流量获利。

资安研究团队Guardicore Labs本周揭露了一个採矿恶意行动Prowli，相关攻击已殃及全球9,000个企业的4万个装置，除了于被骇装置上植入採矿程式之外，也会把合法网站的流量导至恶意网站，不管是Drupal网站、WordPress网站、DSL数据机、採用SSH的伺服器或IoT装置皆受害。

该实验室指出，Prowli攻击行动锁定多元化的平台，从代管热门网站的CMS服务、执行HP Data Protector的备份伺服器、採用开放SSH传输埠的伺服器、到DSL数据机与IoT装置都受到骇客的袭击，入侵途径包括攻击程式、暴力破解密码，以及脆弱的配置。其中，有67%的受害装置为採用脆弱SSH凭证的伺服器。

此外，骇客并没有设定任何的产业，不管是电脑服务业、大学、政府机关、媒体、金融服务或运输业全都受害，Guardicore Labs因而推测骇客的企图不在于间谍行为，而是单纯为了获利。

Prowli攻击行动有两个获利来源，一是于被骇装置上植入开採门罗币（Monero）的採矿程式，二则是进行流量诈骗，挟持使用者流量以将其导至各种恶意网站，诸如伪造的技术支援服务或是恶意的浏览器扩充程式等，骇客藉由出售用户流量而获利。

值得注意的是，Prowli有个攻击百宝箱，可根据需求调用不同的攻击工具，例如採用SSH的装置可能会被暴力破解密码而植入採矿程式，安装K2扩充程式的Joomla! 伺服器则是被开採档案下载漏洞，要攻陷DSL数据机则是利用网路上的配置服务，还含有多种可入侵WordPress伺服器的方法。

其它受到Prowli攻击行动锁定的还有Drupal伺服器、PhpMyAdmin伺服器、NFS伺服器，以及其它曝露SMB传输埠的伺服器。

要预防Prowli攻击只要採取基本的防护动作即可，包括随时採用最新版本，以及设定不容易被破解的强大密码，Guardicore Labs还建议企业于自家网路中隔离那些亦受攻击的系统。