微軟發布研究報告,指出一場加密貨幣挖礦攻擊正瞄準全球的高性能Windows 11與Windows 10電腦。攻擊者鎖定高性能電腦,將惡意軟體偽裝成CrystalDiskInfo、HWMonitor、Display Driver Uninstaller、FurMark、K-Lite Codec Pack和PDFgear等常用軟體。
用戶在搜尋這些工具時,可能會先看到因SEO毒化(Search Engine Optimization Poisoning)而被推高排名的惡意連結。此外,4月份的部分報告也顯示,用戶向人工智慧助手詢問軟體下載建議時,生成結果中也出現了攻擊者的網域。
這些惡意下載包以ZIP壓縮檔形式散布,託管在gleeze[.]com的子網域上。微軟指出,這個壓縮檔會同時包含真實工具的合法執行檔,以及一個會被自動載入的惡意DLL。當用戶啟動看似正常的軟體後,惡意DLL隨即呼叫msiexec.exe,安裝偽裝成vcredist_x64.dll的ScreenConnect遠端存取元件,讓攻擊者取得後續控制權。
潛伏與規避偵測機制
取得遠端連線後,攻擊者會投放名為SimpleRunPE.exe的安裝檔,執行後會將自己複製成RuntimeHost.exe,並隱藏在檔案總管中預設不顯眼的位置,隨後在多個Windows自動啟動位置建立6套持久化機制。在部分情況下,這個程式還會透過惡意的PowerShell腳本落地,並儲存為vlc.exe,藉此冒充VideoLAN播放器的執行檔以降低用戶警覺。為了隱藏行為,這個樣本還會使用進程鏤空(Process Hollowing)技術,將惡意程式碼塞進微軟簽章的.NET工具裡執行,包含InstallUtil.exe。
它還會呼叫PowerShell,將自身路徑和進程加入微軟Defender的排除清單中。同時,惡意程式會檢查虛擬機環境,並掃描40個分析工具的進程名稱,一旦發現便立即退出。在隱藏階段完成後,攻擊鏈會下載並執行gminer、lolMiner和SRBMiner-MULTI這3種礦工模組之一,這3款程式皆是針對GPU挖礦的工具。
對於擁有高性能顯示卡(GPU)的遊戲玩家和專業工作者而言,這是一次嚴厲的警訊。因為這些設備正是挖礦攻擊最具價值的目標。建議用戶在下載軟體時,務必確認來源為官方網站,並對搜尋引擎的頂部結果保持警惕。
- 延伸閱讀:聯邦調查局駭客反向入侵數千台電腦,使 PlugX 惡意軟體自行移除
- 延伸閱讀:Google強化惡意軟體檢測:Pixel 手機迎來即時威脅檢測和詐騙電話檢測功能
- 延伸閱讀:Ghostpulse 惡意軟體藏身 PNG 圖片,新型態攻擊手法難以偵測!
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!