Taylor Swift JPEGs背后的Monero Malware僵尸网络潜伏者

 
研究人员发表了一份新报告，称他们为“无情的”加密采矿僵尸网络，它潜伏在看似无害的内容(例如泰勒·斯威夫特的JPEG图像)之后。
据SophosLabs的Gabor Szappanos于12月18日发布的新闻称，僵尸网络-最著名的MyKings(也称为DarkCloud或Smominru)自2016年以来一直活跃。
尽管使用Sophos措辞的互联网上所有“未打补丁的，低挂的果实”长期以来都容易受到攻击，但据称，MyKings背后的参与者最近增加了bootkit功能，这使得它更易于检测和有效去除。
迄今为止，通过MyKings非法开采了价值300万美元的门罗币
SophosLabs的报告提供了有关僵尸网络操作的完整概述，Szappanos将该僵尸网络描述为“无休止的冗余[重复性攻击者”，主要攻击基于Windows的服务，该服务托管数据库管理系统(例如MqSQL和MS-SQL)，网络协议(例如Telnet)，甚至是运行CCTV摄像机存储的服务器。
该报告指出，僵尸网络的创建者似乎更喜欢使用开放源代码或其他公共领域的软件，并且擅长自定义和增强源代码以插入可执行攻击并执行自动更新过程的自定义组件。
僵尸网络对服务器发起了一系列攻击，目的是提供可执行的恶意软件，通常是被称为“ Forshare”的特洛伊木马，它是被感染服务器上最常见的有效负载。
Forshare用于确保各种不同的Monero(XMR)加密矿工在目标硬件上运行，SophosLabs估计，僵尸网络运营商迄今为止已在Monero赚了大约300万美元。由于该加密货币最近的相对估值较低，这意味着每天的当前收入约为300美元。
 
在所研究的示例中-流行歌手Taylor Swift的图像经过了不明显的修改-SophosLabs解释说.jpg照片已上传到公共存储库，其中隐藏了可执行文件，该可执行文件在下载时会自动更新僵尸网络。
SophosLabs的研究揭示了MyKings持久性机制的复杂本质，该机制通过使用多种命令组合的主动重复和自我更新程序而得以延续。
“即使从计算机中删除了僵尸网络的大多数组件，其余的僵尸网络也可以通过自我更新将其恢复到完全正常的能力。所有这些都是使用自解压缩的RAR存档和Windows批处理文件精心安排的。”
报告指出，目前感染宿主最多的国家是中国，台湾，俄罗斯，巴西，美国，印度和日本。
最近的门罗币犯罪
十一月，Cointelegraph报道说，可以在Monero的官方网站getmonero.org上下载的该软件已受到短暂的窃取，以窃取加密货币并耗尽用户的钱包。
同月，斯洛伐克软件安全公司Eset透露，经营被称为Stantinko僵尸网络的网络罪犯已通过Youtube分发了Monero加密货币挖掘模块。