由于單設備的“挖礦”產量有限,別有用心的人將目標瞄向了網絡上的NAS設備。此前我們曾報道過多起針對群暉(Synology)NAS產品的惡意/勒索軟件,但現在也有一款名叫Mal/Miner-C的惡意軟件變種(又稱PhotoMiner)被發現將目光瞄向了聯網的希捷NAS設備。該惡意軟件會借助這個跳板來感染與之相連的計算機,然后偷偷地“挖掘”Monero數字貨幣。
Miner-C又稱PhotoMiner,出現時間在2016年6月份。當時有報道稱其針對FTP服務器,試圖通過一整套默認的用戶名/密碼列表,強行將自身散播到新的機器(蠕蟲特性)。
在最新的Miner-C版本中,同樣的功能仍然存在,但Sophos安全研究人員表示:近期迭代的Miner-C,利用了Seagate Central NAS設備上的一個缺陷,來將自身復制到公共數據文件中。
NAS設備可簡單理解為“聯網的硬盤驅動器”,允許用戶通過本地網絡訪問文件(但也有部分設備支持開啟互聯網遠程訪問)。
據Sophos所述,Seagate Central設備包含了一個允許所有用戶訪問的公共文件夾,甚至連匿名用戶都可以免登陸訪問,而且無法禁用或刪除。
Miner-C會將自身復制到所有可以查找到的希捷中央NAS設備的公共文件夾上,其中就包括一個偽裝成照片文件夾的“Photo.scr”(后綴名表明它其實是一個被惡意代碼篡改過的屏保文件)。
由于Windows有著默認隱藏文件擴展名的壞習慣,披著“正經文件夾圖標外衣”的惡意腳本很容易被用戶錯誤地執行。
當用戶嘗試訪問該‘文件夾’的時候,實際上運行的是‘Photo.scr’這個惡意文件,最終其計算機被安裝上了虛擬貨幣的挖礦軟件(本例中為Monerro)。
Monero是當前頗能盈利的一款‘數字貨幣’,礦工和黑客們選它為目標也是理所當然。當然這個行業總會遇到瓶頸,比如基于PC硬件的比特幣挖礦早在2012年就變得無利可圖了。
研究人員發現有7000多臺希捷中央NAS設備連上了互聯網,這意味著黑客可能已經感染了其中約5000臺設備。
由于所有采集到的Monerro數字貨幣都被存在惡意軟件的配置文件中,Sophos得以預估其獲利或已達7.66萬歐(8.64萬美元),約占整個Monero挖礦活動的2.5%。
京公網安備 11010502049343號