挖矿病毒乘着区块链的东风变得越来越层出不穷,不久前有过 Chrome 恶意扩展被上架到扩展中心,在6天时间里挖矿$1000门罗币,近日又有报导称一位 Ubuntu 用户发现了 Ubuntu Snap 商店上托管的软件包源码中被藏匿了加密货币矿工。 该应用名字叫 2048buntu,这是 Ubuntu 版本的 2048 游戏,GitHub 用户 Tarwirdur 的介绍称,该应用程序包含伪装为“systemd”守护进程的加密货币挖掘程序,以及提供引导持久性的初始化脚本。 据分析,该恶意程序为电子邮件地址为“myfirstferrari@protonmail.com”的用户帐户挖掘Bytecoin(BCN,百特币)。问题被披露之后,Ubuntu Snap 商店团队已经将 2048buntu 与应用程序开发者提交的其它软件包一并移除,并表示目前在做进一步调查。 由于 Ubuntu Snap 商店不提供安装计数,因此此次受影响的用户数量未知,快检查你是否安装了 2408buntu。
附6天挖矿$1000门罗币,Chrome 恶意扩展来袭 近来,恶意 Chrome 扩展窃取用户信息的事件频发,就在上个月,TrendMicro 刚刚曝光了 Facexworm 恶意软件,最近,安全公司 Radware 又披露了一组携带 Nigelthorn 病毒的 Chrome 扩展程序。 这组恶意程序包括7个合法 Chrome 扩展的恶意拷贝版本,包括 Nigelify、PwnerLike、Alt-j、Fix-case、Divinity 2 Original Sin: Wiki Skill Popup、keeprivate 和 iHabno。 这些恶意软件的工作机制与 Facexworm 类似,当 Facebook 用户点击某个链接,将会登陆到虚假的 YouTube 网页,并下载恶意 Chrome 扩展程序。
入驻用户设备之后,病毒会联系 C&C 服务器并下载攻击负载,它可以执行不同的任务,如窃取 Facebook 凭证和 Instagram Cookie,进行 YouTube 欺诈,并通过受害者的朋友在 Facebook 上进一步传播。 同时它还安装了加密货币挖掘脚本,攫取用户算力挖掘门罗币(Monero)、百特币(Bytecoin)和 Electronuem 币,Radware 表示,截至10日,在6天时间里,恶意扩展已经开采了约1000美元的门罗币。 Nigelthorn 同时影响 Windows 和 Linux 用户,但它仅限于 Chrome 浏览器,Radware 表示,不使用 Chrome 浏览器的用户不会面临风险。 Radware 预估 Nigelthorn 自2018年3月以来一直处于活跃状态,在100多个国家感染了超过100000名用户,其中75%在菲律宾、委内瑞拉和厄瓜多尔。经过报告,目前这些恶意扩展已从 Chrome 商店中移除,考虑到攻击者最近在 Chrome 商店中上传恶意扩展程序所获得的成功,病毒重新回归也只是时间问题。
相关主题 |