标题 简介 类型 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2024-2055]   作者: 闲云野鸡 发表于: [2018-10-16]

本文共 [351] 位读者顶过

来自Palo Alto Networks公司旗下Unit 42威胁研究团队的安全研究员Brad Duncan在上周发布的一篇博文中指出,虽然通过伪装成Adobe Flash Player安装程序来分发加密货币矿工很常见,但开始于今年8月份的一场新活动却显得有些与众不同。 [出自:jiwo.org]

Duncan表示,过去通过虚假Flash Player安装程序来分发加密货币矿工的活动,通常只是在后台安装矿工,并不会真正的执行Flash Player的更新。然而,在8月份的新活动中,攻击者不仅仅安装了一个矿工,并且还真的执行了Flash Player更新程序的安装。

Duncan进一步解释说,他发现在这场活动中被分发的虚假Flash Player安装程序不仅仅安装了一个XMRig矿工,而且还自动更新了他安装的Flash Player,而这是通过一个木马程序来实现的。

Duncan认为,通过执行这种真实的Flash Player更新,能够使得潜在的受害者不会对安装程序的执行产生任何怀疑,增加虚假安装程序的合法性,从而使得XMRig矿工能够顺利地抵达受害者的计算机,并在后台默默地运行。

分析表明,一旦XMRig矿工执行,它将连接到xmr-eu1.nanopool.org上的挖掘池,并开始使用受害者的计算机CPU资源挖掘门罗币。挖矿进程伪装成“explorer.exe”,它几乎会耗尽CPU资源(占用100%)。

Duncan注意到攻击者在这场活动中使用了包含“flashplayer_down.php?clickid=”的网址来下载虚假的Flash安装程序,其中一些下载内容托管在Amazon AWS服务器上。根据2018年3月至9月分发的虚假Flash player的数量,我们可以看到这场活动在7月底到9月底期间表现得尤为活跃。

不幸的是,Duncan表示他无法找到分发这些虚假Flash Player安装程序的实际网站。因此,我们建议你应该直接从Adobe的官方网站下载并安装Flash Player。如果你看到有其他网站正在提供Flash安装程序,那么请及时关闭浏览器。

评论

暂无
发表评论
 返回顶部 
热度(351)
 关注微信