因疫情火紅的Zoom,被挖礦病毒盯上!

在家工作,下載會議軟體請確認來自官方!

一場突發的冠狀病毒( COVID-19,俗稱武漢肺炎)疫情,使得突然切換成在家工作的企業,幾乎沒有時間來加強遠端工作安全措施。駭客因此見縫擦針想辦法利用視訊會議軟體等工具來散播惡意軟體也讓企業資安更加防不慎防。
如果近日發現電腦速度變慢,先回想看看是不是曾在非官方下載中心,下載了 夾帶惡意程式的Zoom,導致電腦偷偷被「 挖儣 」了!

隨著冠狀病毒(COVID-19)全球疫情的日漸加劇,許多公司都已經轉成在家工作(WFH,Work-From-Home)。這種作法突顯出視訊會議軟體的實用性。雖然這些平台早在病毒爆發前就已經被企業和遠端工作者用來召開會議及滿足其他溝通上的需要。不幸的是,這波疫情也讓網路犯罪分子鎖定視訊會議軟體來散播惡意軟體。

如果近日發現電腦速度變慢,先回想看看是不是曾在非官方下載中心,下載了 夾帶惡意程式的Zoom,導致電腦偷偷被「 挖儣 」了! 如果近日發現電腦速度變慢,先回想看看是不是曾在非官方下載中心,下載了 夾帶惡意程式的Zoom,導致電腦偷偷被「 挖儣 」了!

趨勢科技發現有惡意份子利用視訊會議軟體Zoom的合法安裝程式來偷渡挖礦( coinmining )病毒,吸引想安裝該軟體的使用者在無意間去下載了惡意檔案。
有問題的檔案並非來自Zoom的官方下載中心,而是來自詐騙網站。趨勢科技一直在與Zoom合作以確保他們可以適當地將此訊息傳達給使用者。

一張含有 螢幕擷取畫面 的圖片自動產生的描述

圖1. 利用Zoom安裝程式偷渡的64.exe(一個虛擬貨幣挖礦病毒)程式碼片段

中了挖礦病毒會怎樣?

以下列舉三個常遇到的狀況:

*1.網路變慢 電費暴增?可能是它暗中搞鬼!
*

虛擬加密貨幣挖礦攻擊已成為網路犯罪集團越來越喜愛的賺錢管道。
原因為何?

因為,受害者並不曉得自己已經遭到感染,因此惡意程式可以潛伏在受害者的電腦上全年 365 天7 天 24 小時偷偷在背後挖礦。近來有越來越多駭客利用精密的攻擊來入侵企業 IT 系統與雲端伺服器以提高其挖礦的獲利。

不過還是有許多駭客專門攻擊一般家用的電腦系統 (例如路由器),原因是這類設備相對上較缺乏資安防護。歹徒只要能集合夠多的這類裝置,將它們收編至所謂的殭屍網路,就等於擁有一座源源不絕的金礦。


♦兩招教你檢查電腦是否中了挖礦病毒!

✅檢查電腦的 CPU 使用率 ,若有異常飆高現象可以關閉瀏覽器頁面並觀察 CPU 使用率是否回歸正常

✅免費下載 PC-cillin雲端版檢測確認➔立即下載

2.手機又沒電? 當心遇到榨乾電力的挖礦程式

一個新的 Android 挖礦程式:「ANDROIDOSHIDDENMINER」,會假冒成正常的 Google Play 更新程式 ( _google.android.provider ) 並且使用了 Google Play 的圖示。HIDDENMINER挖礦程式會使用手機的運算資源不停挖礦,直到電力耗盡為止。這也會使得手機過熱,甚至故障。HiddenMiner使用多種技術隱蔽自己,讓一般使用者很難發現手機已經受到感染。除了在桌面使用透明圖標外,也無法在應用程式列表中發現它。

延伸閱讀:手機又沒電的8個原因

3.電腦突然發出擾人噪音到底是出了什麼問題?

其實電腦的噪音大多是來自風扇,其中一個原因是當電腦的 CPU 使用率飆高,也會導致電腦溫度升高,於是風扇就需要增加轉速來散熱,風散噪音也增加了,您可以檢查一下CPU是否有使用異常或是關閉一些執行中的程式降低CPU使用率。

  延伸閱讀:電腦主機風扇突然變大聲,很吵嗎? 簡單四招降低噪音

訂閱資安趨勢電子報

惡意檔案分析

下載有問題安裝程式的使用者會獲得比原本預期更多的東西,因為同時也下載了用AutoIt編譯的惡意軟體Trojan.Win32.MOOZ.THCCABO。它會帶入以下檔案:

檔案| 描述
---|---
64.exe| 偵測為Coinminer.Win64.MOOZ.THCCABO
asacpiex.dll (前5個位元是NULL)| 包含Coinminer.Win64.MOOZ.THCCABO的壓縮檔
CR_Debug_Log.txt (前5個位元被置換的asacpiex.dll)| 包含Coinminer.Win64.MOOZ.THCCABO的壓縮檔
CL_Debug_Log.txt| 7-zip 壓縮程式
SystemCheck.xml| 用於工作排程
ZoomInstaller.exe| 合法的Zoom安裝程式版本4.4.0.0

圖2. 惡意檔案內容

一張含有 螢幕擷取畫面 的圖片自動產生的描述 圖3. 檔案內容的詳細分類

壓縮檔asascpiex.dll的前5個字元為NULL,用0x00替換過使其難以確認原始檔案特徵碼(即0x37 0x7A 0xBC 0xAF 0x27,會被識別為7-Zip壓縮檔)。此檔很快被複製為CRDebuglog.txt。7-Zip壓縮程式CLDebuglog.txt被用來解壓縮此受密碼保護的壓縮檔。

一張含有 監視器, 電腦, 螢幕, 鍵盤 的圖片自動產生的描述 圖4. 畫面顯示asacpiex.dll檔案格式特徵碼

該檔會用cpuinfo標誌位確認受感染系統的架構。如果是64位元系統就會植入64.exe。這包軟體並不含用於32位元系統的32.exe,這意味著該惡意軟體目前只在64位元環境執行。

一張含有 畫畫 的圖片自動產生的描述 圖5. 畫面顯示64.exe程式碼片段

該檔案使用WMI查詢收集如GPU資訊之類對挖礦活動來說很有用的資料。它還會收集關於CPU、系統、作業系統版本、視訊控制器和處理器等詳細資訊。

圖6. 檢查處理器詳細資訊的程式碼

圖7. 檢查視訊控制器詳細資訊的程式碼

它還會檢查是否已啟用Microsoft SmartScreen和Windows Defender,以及系統內是否正在執行以下防毒軟體:

程序名稱| 防毒軟體
---|---
AvastUI.exe / AvastSvc.exe| Avast
avguix.exe / AVGUI.exe| AVG
avp.exe / avpui.exe| Kaspersky
dwengine.exe| Dr. Web
egui.exe / ekrn.exe| ESET NOD32
MBAMService.exe| Malwarebytes

一張含有 螢幕擷取畫面 的圖片自動產生的描述 圖8. 檢查執行中防毒軟體的程式碼

使用HTTP GET將收集到的資訊送到hxxps://2no.co/1IRnc。

一張含有 畫畫 的圖片自動產生的描述 圖9. 使用HTTP GET將資訊送到一個網址

CR_Debug_log.txt是個用7-Zip壓縮的檔案,裡面包含了虛擬貨幣挖礦病毒64.exe。它很快地會以helper.exe形式複製到%appdata%\Roaming\Microsoft\Windows\資料夾。這是個用AutoIt編譯的惡意軟體,裡面包含了7-Zip壓縮程式和受密碼保護壓縮過的Tor檔。為了保持持續性,它使用-SystemCheck參數來建立工作排程。

一張含有 螢幕擷取畫面 的圖片自動產生的描述 圖10. -SystemCheck工作排程描述

一張含有 螢幕擷取畫面 的圖片自動產生的描述 圖11. -SystemCheck工作排程動作

使用工作排程啟動helper.exe後,它會用-SystemCheck91137參數生成自己。

一張含有 螢幕擷取畫面 的圖片自動產生的描述 圖12. helper.exe檔案屬性命令列內的-SystemCheck91137

為了躲避偵測,helper.exe會檢查下列程序是否在執行中。除了安全軟體外,此列表還包含了其他會監視挖礦活動的工具:

  • aida64.exe
  • AnVir.exe
  • anvir64.exe
  • GPU-Z.exe
  • HWiNFO32.exe
  • HWiNFO64.exe
  • i7RealTempGT.exe
  • OpenHardwareMonitor.exe
  • pchunter64.exe
  • perfmon.exe
  • ProcessHacker.exe
  • ProcessLasso.exe
  • procexp.exe
  • procexp64.exe
  • RealTemp.exe
  • RealTempGT.exe
  • speedfan.exe
  • SystemExplorer.exe
  • taskmgr.exe
  • VirusTotalUpload2.exe

然後它會生成Tor檔並開始進行挖礦活動。

圖13. helper.exe生成tor檔

建議作法

突然間需要轉換成在家工作使得企業幾乎沒有時間來加強安全措施以確保自身滿足遠端工作的需求。而駭客想辦法利用視訊會議軟體之類的工具來散播惡意軟體也讓企業更加容易受害。

建議使用者只從官方網站下載安裝程式以避免中毒。使用者還應該遵循最佳實作來保護在家工作的環境。同時建議採用多層次防護以有效地偵測和封鎖威脅,無論其位在系統中的何處。

入侵指標

網址

  • 2no(.)co/1IRnc
  • hxxps://2no(.)co/1O5aW

檔案

SHA-256| 趨勢科技病毒碼偵測| 趨勢科技預判式機器學習偵測
---|---|---
d65e8a784c2ba0d9f7a029e1817b78b31324fb8c988e0467fd693b0efd890756 (安裝程式)| Trojan.Win32.MOOZ.THCCABO  | Troj.Win32.TRX.XXPE50FFF034
04b560d234e8706d5e43532e9e674ee54ed6f63d62795fb0e5776e23da7eb4d8 (64.exe)| Coinminer.Win64.MOOZ.THCCABO| N/A

@原文出處:Zoomed In: A Look into a Coinminer Bundled with Zoom Installer 作者:Raphael Centeno和Llallum Victoria

PC-cillin不只防毒也防詐騙 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用

![](https://blog.trendmicro.com.tw/ https://blog.trendmicro.com.tw/wp-content/uploads/2020/01/fb-540x90-1.gif )

💝▎每月7 日下午 4 點 , 趨勢科技 IG 帳號,Fun 送粉絲獨享禮 ▎💝
) 快進來看看 🙂

FBIGYoutubeLINE官網

相關文章:

趨勢科技與國際刑警組織 (INTERPOL) 合作逮捕奈及利亞網路犯罪集團首腦企業平均約需要 30 天完成修補程式測試,「漏洞攻擊套件 + 勒索病毒」,考驗和時間賽跑的 IT 管理員面對勒索病毒,醫療產業表示準備好了,但...台灣遭勒索病毒攻擊次數,全球排名第18名 亞洲第7 ;平均每起變臉詐騙,企業損失逾 430 萬台幣 --- 四個刷新紀錄的企業威脅