来自Palo Alto Networks公司旗下Unit 42威胁研究团队的安全研究员Brad Duncan在上周发布的一篇博文中指出，虽然通过伪装成Adobe Flash Player安装程序来分发加密货币矿工很常见，但开始于今年8月份的一场新活动却显得有些与众不同。 [出自:jiwo.org]

Duncan表示，过去通过虚假Flash Player安装程序来分发加密货币矿工的活动，通常只是在后台安装矿工，并不会真正的执行Flash Player的更新。然而，在8月份的新活动中，攻击者不仅仅安装了一个矿工，并且还真的执行了Flash Player更新程序的安装。

Duncan进一步解释说，他发现在这场活动中被分发的虚假Flash Player安装程序不仅仅安装了一个XMRig矿工，而且还自动更新了他安装的Flash Player，而这是通过一个木马程序来实现的。

Duncan认为，通过执行这种真实的Flash Player更新，能够使得潜在的受害者不会对安装程序的执行产生任何怀疑，增加虚假安装程序的合法性，从而使得XMRig矿工能够顺利地抵达受害者的计算机，并在后台默默地运行。

分析表明，一旦XMRig矿工执行，它将连接到xmr-eu1.nanopool.org上的挖掘池，并开始使用受害者的计算机CPU资源挖掘门罗币。挖矿进程伪装成“explorer.exe”，它几乎会耗尽CPU资源（占用100%）。

Duncan注意到攻击者在这场活动中使用了包含“flashplayer_down.php?clickid=”的网址来下载虚假的Flash安装程序，其中一些下载内容托管在Amazon AWS服务器上。根据2018年3月至9月分发的虚假Flash player的数量，我们可以看到这场活动在7月底到9月底期间表现得尤为活跃。

不幸的是，Duncan表示他无法找到分发这些虚假Flash Player安装程序的实际网站。因此，我们建议你应该直接从Adobe的官方网站下载并安装Flash Player。如果你看到有其他网站正在提供Flash安装程序，那么请及时关闭浏览器。