黑客正在大批量地掃描網(wǎng)絡(luò)中運(yùn)行著ethOS的以太幣挖礦服務(wù)器，進(jìn)而通過操作系統(tǒng)的默認(rèn)ssh密碼入侵主機(jī)。

攻擊者使用這些密碼獲取到了礦機(jī)的權(quán)限，然后把機(jī)主的以太幣錢包地址改成了自己的，通過這種手段，礦機(jī)機(jī)主挖到的以太幣就全都流入了攻擊者手中。

使用SSH默認(rèn)密碼控制主機(jī)

攻擊最初從周一開始，首先被羅馬尼亞殺毒軟件公司BitDefender設(shè)立的蜜罐檢測(cè)到。

蜜罐日志顯示，攻擊者嘗試了兩個(gè)ssh默認(rèn)用戶名密碼，分別是ethos:live和root:live。

通過在互聯(lián)網(wǎng)搜索，BitDefender了解到，這兩種密碼組合來自ethOS，這是一個(gè)64位的Linux發(fā)行版，專門用來利用GPU資源挖掘加密貨幣，比如以太幣、Zcash、門羅幣等。

BitDefender的專家發(fā)現(xiàn)，攻擊者想要用自己的錢包地址替換默認(rèn)的地址。黑客用來劫持系統(tǒng)的命令完整列表見此。

黑客只賺了4000元

雖然ethOS稱有超過3800臺(tái)主機(jī)正在運(yùn)行他們的系統(tǒng)，但并不是所有的系統(tǒng)都存在弱口令漏洞。如果機(jī)主自己更改了系統(tǒng)的密碼并且安裝了防火墻，就不會(huì)被攻擊。

Bogdan Botezatu，BitDefender高級(jí)電子威脅分析員稱，攻擊者的以太幣地址(0xb4ada014279d9049707e9A51F022313290Ca1276)只有10筆以太幣交易，賬號(hào)里也就只有601美元的以太幣。

“如果你在運(yùn)行基于ethOS系統(tǒng)的礦機(jī)，應(yīng)該留意是不是已經(jīng)更改了系統(tǒng)密碼，如果你沒改的話，趕緊看看挖到的以太幣是不是發(fā)送給了你而非黑客。”

替換錢包竊取貨幣

無獨(dú)有偶，今年9月，ESET發(fā)現(xiàn)一個(gè)黑客一直掃描網(wǎng)絡(luò)中未打補(bǔ)丁的IIS 6.0服務(wù)器，然后用它們安裝門羅幣挖礦機(jī)，攻擊者從中獲利63000美元。

今天，卡巴斯基還發(fā)現(xiàn)了一個(gè)使用CryptoShuffler木馬的黑客組織，這個(gè)組織賺取了150000美元的比特幣和大量其他貨幣。

黑客們通過CryptoShuffler木馬感染用戶，然后監(jiān)視系統(tǒng)剪切板，一旦察覺到類似比特幣錢包地址的字符串就會(huì)進(jìn)行替換。受害者進(jìn)行支付時(shí)往往會(huì)復(fù)制粘貼錢包地址，如果用戶沒有留意的話，地址很容易被替換。

卡巴斯基實(shí)驗(yàn)室的分析員Sergey Yunakovsky表示，這款病毒完美詮釋了“理性”，病毒機(jī)制簡(jiǎn)單有效;不需要訪問礦池，不需要聯(lián)網(wǎng)，不需要加載可疑的進(jìn)程。

CryptoShuffler的比特幣錢包現(xiàn)在有23.21比特幣，價(jià)值150000美元。除了比特幣，黑客還會(huì)對(duì)其他加密貨幣進(jìn)行攻擊，例如Dogecoin, Litecoin, Dash, Ethereum, Monero和Zcash。

近幾年針對(duì)加密貨幣的攻擊正在慢慢上升，各種安全問題也層出不窮。今年8月下旬，安全專家Victor Gevers發(fā)現(xiàn)超過3,000臺(tái)比特幣礦機(jī)沒有密碼并且開放在網(wǎng)絡(luò)中，并且大部分的服務(wù)器位于中國。

今年4月，安全研究人員發(fā)現(xiàn)Bitmain出品的Antminer挖礦機(jī)中存在后門，這個(gè)漏洞被命名為Antbleed，Bitmain發(fā)布了固件更新修復(fù)了問題。

而根據(jù)Rapid7的數(shù)據(jù)，暴露在公網(wǎng)的設(shè)備超過2千萬臺(tái)。

附CryptoShuffler MD5校驗(yàn)值：

0ad946c351af8b53eac06c9b8526f8e4

095536CA531AE11A218789CF297E71ED

14461D5EA29B26BB88ABF79A36C1E449

1A05F51212DEA00C15B61E9C7B7E647B

1E785429526CC2621BAF8BB05ED17D86

2028383D63244013AA2F9366211E8682

25BF6A132AAE35A9D99E23794A41765F

39569EF2C295D1392C3BC53E70BCF158

50E52DBF0E78FCDDBC42657ED0661A3E

6EB7202BB156E6D90D4931054F9E3439

7AE273CD2243C4AFCC52FDA6BF1C2833

7EC256D0470B0755C952DB122C6BDD0B

80DF8640893E2D7CCD6F66FFF6216016

AA46F95F25C764A96F0FB3C75E1159F8

B7ADC8699CDC02D0AB2D1BB8BE1847F4

D45B0A257F8A0710C7B27980DE22616E

D9A2CD869152F24B1A5294A1C82B7E85