新型挖矿工具 Digmine 正在大肆传播，警惕Facebook聊天内容

趋势科技最近又发现一个新型的加密货币挖掘工具 Digmine，它正通过桌面窗口聊天工具Facebook Messenger进行传播。Digmine最初出现在韩国，韩国安全研究员将它命名为“비트코인채굴기bot”，其次在越南，阿塞拜疆，乌克兰，越南，菲律宾，泰国和委内瑞拉等地区纷纷出现。

虽然Facebook Messenger可以在不同平台之间运行，但Digmine仅影响在Chrome上运行的Facebook Messenger。如果Digmine在其他平台（如移动平台）上打开，则将无法正常运行。

Digmine内置了一个门罗币挖矿软件和一个恶意+的Chrome扩展，设法尽可能驻留在用户系统中，以便伺机感染更多的用户设备。

Digmine的攻击链

受害者通常会收到一个名为video_xxxx.zip的文件（其中xxxx是一个四位数字）。该档案隐藏了一个EXE文件。用户不小心运行该文件就会感染Digmine。

Digminer是用AutoIt编写的，除了联系远程命令和控制（C&C）服务器获得指令外，几乎没有其他功能。

伪装成视频的攻击策略

Digmine 在 AutoIt 中编码， 给用户发送假冒视频文件。但实际上该文件是一个 AutoIt 可执行脚本，若用户的 Facebook 帐号设置为自动登录，那么 Digmine 将可以操纵 Facebook Messenger，以便将文件的链接发送给该帐号的好友，达到感染更多用户设备的目的。

通过Facebook Messenger（顶部）发送的Digmine链接以及伪装成视频的文件（底部）

Digmine只是一个下载程序，它将首先连接到C＆C服务器以读取其配置并下载多个组件。初始配置包含下载组件的链接，其中大部分也都托管在同一个C＆C服务器上。它将下载的组件保存在％appdata％ 目录中。

下载的配置（顶部）和下载的组件（底部）

Digmine还将执行其他进程，如安装注册表自动启动机制以及系统感染标记。它将搜索并启动Chrome，然后加载从C＆C服务器检索到的恶意浏览器扩展。如果Chrome已在运行，则恶意软件将终止并重新启动Chrome，以确保扩展程序已加载。通常情况下，Chrome插件只能从Chrome官方插件库下载及安装。但事实证明，攻击者仍通过使用Chrome命令行参数成功安装了这个恶意插件。

自动启动注册表项中的Digmine下载程序组件（顶部）以及指示恶意软件感染系统的标记（底部）

当前正在运行的Chrome进程被终止（顶部），然后用参数重新加载Chrome来加载扩展（底部）

扩展将从C＆C服务器读取它自己的配置，它可以指示扩展程序继续登录到Facebook或打开将播放视频的虚假页面。

经过伪装的视频网站也是C＆C结构的一部分，这个网站会伪装成是一个视频媒体网站，但其实它包含了很多恶意软件组件的配置。

伪装的视频网站的配置链接

浏览器扩展使用的初始配置

Digmine的传播机制

这个Chrome浏览器插件的主要作用是访问受害者的Facebook Messenger配置文件，并向受受害者的所有联系人发送包含video_xxxx.zip文件的消息。

研究人员表示，这种自我传播机制只适用于使用Chrome浏览器登录Facebook Messenger且选择了默认自动登录的受害者。如果受害者仅仅是使用Chrome浏览器登录，但并没有选择默认自动登录，则这种机制是无效的。因为，在这种情况下，它无法进入Facebook Messenger的消息编辑及发送界面。而在默认自动登录的情况下，恶意软件会通过从C＆C服务器下载附加代码来完成。

由于可以添加更多的代码，Digmine与Facebook的相互相应可能会在未来出现更多的攻击功能。

从C＆C服务器获取的允许与Facebook交互的附加代码

挖掘组件

研究人员表示，目前，Digmine会从C＆C服务器下载两个关键组件：一个门罗币挖矿工具和一个Chrome浏览器插件。同时，Digmine还会添加一个基于注册表的自启机制，并安装这两个组件。

挖矿模块将由挖矿管理组件codec.exe下载，它将被连接到另一台C＆C服务器来检索挖矿及其相应的配置文件。

挖矿组件miner.exe是一个被称为XMRig的开源门罗币挖矿工具的迭代，此次的挖矿工具被重新配置为使用config.json文件执行，而不是直接从命令行接收参数。

挖矿配置（顶部）和codec.exe代码启动的挖矿组件（底部）

C＆C通信和协议

下载程序和挖掘管理组件都使用特定的HTTP标头进行通信，下载初始配置时，恶意软件在发送到C＆C服务器之前会构造HTTP GET请求。

GET /api/apple/config.php HTTP/1.1

Connection: Keep-Alive

Accept: */*

User-Agent: Miner

Window:

ScriptName:

OS:

Host:

Facebook正努力阻止Digmine传播

Digmine 挖矿工具被披露后，Facebook 迅速从其平台上删除了许多与 Digmine 相关的链接。 Facebook 在官方声明中表示， 目前 Facebook 维护了许多自动化系统，以帮助阻止有害链接和文件。不过，这仅仅是一种紧急解决措施，攻击者完全可以创建一个新的连接来开展Digmine的分发活动。

Facebook发言人说：

未来的攻击趋势预测

加密货币的兴盛，也让这里成了攻击者的新战场，从目前的趋势来看，很多攻击者都在传播恶意软件时，顺便挖点矿，实现攻击利益的最大化，我相信这种模式未来会成为流行模式。

IoCs

TROJ_DIGMINEIN.A（SHA256）的哈希：

beb7274d78c63aa44515fe6bbfd324f49ec2cc0b8650aeb2d6c8ab61a0ae9f1d

BREX_DIGMINEEX.A（SHA256）的哈希：

5a5b8551a82c57b683f9bd8ba49aefeab3d7c9d299a2d2cb446816cd15d3b3e9

TROJ_DIGMINE.A（SHA256）的哈希：

与Digmine相关的C＆C服务器（包括子域名）：

vijus[.]bid

ozivu[.]bid

thisdayfunnyday[.]space

thisaworkstation[.]space

mybigthink[.]space

mokuz[.]bid

pabus[.]bid

yezav[.]bid

bigih[.]bid

taraz[.]bid

megu[.]info