导语:趋势科技最近又发现一个新型的加密货币挖掘工具 Digmine,它正通过桌面窗口聊天工具Facebook Messenger进行传播。Digmine最初出现在韩国,韩国安全研究员将它命名为“비트코인채굴기bot”,其次在越南,阿塞拜疆,乌克兰,越南,菲律宾,泰
趋势科技最近又发现一个新型的加密货币挖掘工具 Digmine,它正通过桌面窗口聊天工具Facebook Messenger进行传播。Digmine最初出现在韩国,韩国安全研究员将它命名为“비트코인채굴기bot”,其次在越南,阿塞拜疆,乌克兰,越南,菲律宾,泰国和委内瑞拉等地区纷纷出现。
虽然Facebook Messenger可以在不同平台之间运行,但Digmine仅影响在Chrome上运行的Facebook Messenger。如果Digmine在其他平台(如移动平台)上打开,则将无法正常运行。
Digmine内置了一个门罗币挖矿软件和一个恶意+的Chrome扩展,设法尽可能驻留在用户系统中,以便伺机感染更多的用户设备。
Digmine的攻击链
受害者通常会收到一个名为video_xxxx.zip的文件(其中xxxx是一个四位数字)。该档案隐藏了一个EXE文件。用户不小心运行该文件就会感染Digmine。
Digminer是用AutoIt编写的,除了联系远程命令和控制(C&C)服务器获得指令外,几乎没有其他功能。
伪装成视频的攻击策略
Digmine 在 AutoIt 中编码, 给用户发送假冒视频文件。但实际上该文件是一个 AutoIt 可执行脚本,若用户的 Facebook 帐号设置为自动登录,那么 Digmine 将可以操纵 Facebook Messenger,以便将文件的链接发送给该帐号的好友,达到感染更多用户设备的目的。
通过Facebook Messenger(顶部)发送的Digmine链接以及伪装成视频的文件(底部)
Digmine只是一个下载程序,它将首先连接到C&C服务器以读取其配置并下载多个组件。初始配置包含下载组件的链接,其中大部分也都托管在同一个C&C服务器上。它将下载的组件保存在%appdata% <username>目录中。
下载的配置(顶部)和下载的组件(底部)
Digmine还将执行其他进程,如安装注册表自动启动机制以及系统感染标记。它将搜索并启动Chrome,然后加载从C&C服务器检索到的恶意浏览器扩展。如果Chrome已在运行,则恶意软件将终止并重新启动Chrome,以确保扩展程序已加载。通常情况下,Chrome插件只能从Chrome官方插件库下载及安装。但事实证明,攻击者仍通过使用Chrome命令行参数成功安装了这个恶意插件。
自动启动注册表项中的Digmine下载程序组件(顶部)以及指示恶意软件感染系统的标记(底部)
当前正在运行的Chrome进程被终止(顶部),然后用参数重新加载Chrome来加载扩展(底部)
扩展将从C&C服务器读取它自己的配置,它可以指示扩展程序继续登录到Facebook或打开将播放视频的虚假页面。
经过伪装的视频网站也是C&C结构的一部分,这个网站会伪装成是一个视频媒体网站,但其实它包含了很多恶意软件组件的配置。
伪装的视频网站的配置链接
浏览器扩展使用的初始配置
Digmine的传播机制
这个Chrome浏览器插件的主要作用是访问受害者的Facebook Messenger配置文件,并向受受害者的所有联系人发送包含video_xxxx.zip文件的消息。
研究人员表示,这种自我传播机制只适用于使用Chrome浏览器登录Facebook Messenger且选择了默认自动登录的受害者。如果受害者仅仅是使用Chrome浏览器登录,但并没有选择默认自动登录,则这种机制是无效的。因为,在这种情况下,它无法进入Facebook Messenger的消息编辑及发送界面。而在默认自动登录的情况下,恶意软件会通过从C&C服务器下载附加代码来完成。
由于可以添加更多的代码,Digmine与Facebook的相互相应可能会在未来出现更多的攻击功能。
从C&C服务器获取的允许与Facebook交互的附加代码
挖掘组件
研究人员表示,目前,Digmine会从C&C服务器下载两个关键组件:一个门罗币挖矿工具和一个Chrome浏览器插件。同时,Digmine还会添加一个基于注册表的自启机制,并安装这两个组件。
挖矿模块将由挖矿管理组件codec.exe下载,它将被连接到另一台C&C服务器来检索挖矿及其相应的配置文件。
挖矿组件miner.exe是一个被称为XMRig的开源门罗币挖矿工具的迭代,此次的挖矿工具被重新配置为使用config.json文件执行,而不是直接从命令行接收参数。
挖矿配置(顶部)和codec.exe代码启动的挖矿组件(底部)
C&C通信和协议
下载程序和挖掘管理组件都使用特定的HTTP标头进行通信,下载初始配置时,恶意软件在发送到C&C服务器之前会构造HTTP GET请求。
GET /api/apple/config.php HTTP/1.1 Connection: Keep-Alive Accept: */* User-Agent: Miner Window: <Window name of active window> ScriptName: <filename of malware> OS: <OS version> Host: <C&C>
Facebook正努力阻止Digmine传播
Digmine 挖矿工具被披露后,Facebook 迅速从其平台上删除了许多与 Digmine 相关的链接。 Facebook 在官方声明中表示, 目前 Facebook 维护了许多自动化系统,以帮助阻止有害链接和文件。不过,这仅仅是一种紧急解决措施,攻击者完全可以创建一个新的连接来开展Digmine的分发活动。
Facebook发言人说:
我们对一些自动化系统进行了配置,以帮助我们阻止恶意链接和恶意文件出现在Facebook或者Messenger上。如果我们怀疑某个用户的计算机感染了恶意软件,我们将向用户提供免费的反病毒扫描程序。另外,我们也将在facebook[.]com/help上分享有关如何保持安全的建议,以及这些扫描程序的下载链接。
研究人员建议,为了避免这些类型的威胁,用户需更加警惕社交媒体帐户的使用,比如注意可疑和未经请求的消息、 启用帐户的隐私设置、点击链接或者分享信息时先进行确认。
未来的攻击趋势预测
加密货币的兴盛,也让这里成了攻击者的新战场,从目前的趋势来看,很多攻击者都在传播恶意软件时,顺便挖点矿,实现攻击利益的最大化,我相信这种模式未来会成为流行模式。
IoCs
TROJ_DIGMINEIN.A(SHA256)的哈希:
beb7274d78c63aa44515fe6bbfd324f49ec2cc0b8650aeb2d6c8ab61a0ae9f1d
BREX_DIGMINEEX.A(SHA256)的哈希:
5a5b8551a82c57b683f9bd8ba49aefeab3d7c9d299a2d2cb446816cd15d3b3e9
TROJ_DIGMINE.A(SHA256)的哈希:
f7e0398ae1f5a2f48055cf712b08972a1b6eb14579333bf038d37ed862c55909
与Digmine相关的C&C服务器(包括子域名):
vijus[.]bid
ozivu[.]bid
thisdayfunnyday[.]space
thisaworkstation[.]space
mybigthink[.]space
mokuz[.]bid
pabus[.]bid
yezav[.]bid
bigih[.]bid
taraz[.]bid
megu[.]info