据媒体 1 月 31 日报道，“ 僵尸网络 ” 恶意软件 Smominru 已经通过泄露的 NSA 漏洞感染了 52.6 万多台电脑。 网络安全公司的软件安全研究人员已经发现了一个名为 Smominru 的新的全球僵尸网络，它也被称为 Ismo ，它使用了国家安全局( NSA )漏洞永恒之蓝来传播门罗币挖矿的恶意软件。 媒体称，这款 “ 永恒之蓝 ” 的漏洞被所谓的 “ 影子经纪人 ” (Shadow Brokers)黑客泄露，据报道，这些黑客还在幕后操纵着 2017 年的 “ WannaCry  蠕虫病毒勒索软件。 据证实，Smominru 僵尸网络自 2017 年 5 月起就开始感染电脑，每天大约会挖掘 24 个门罗币。到目前为止，据报道，“ 僵尸网络 ” 在新闻发布时已经成功挖掘了 8900 个门罗币，约合 210 万美元。研究人员说，在俄罗斯、印度和台湾发现了数量最多的 smominru 感染电脑。 根据证据，网络犯罪分子瞄准的是易受攻击的 Windows 系统，也使用了一种被泄露的 NSA 协议，叫做 EsteemAudit 。 根据 thehackernews.com 网站，专家们还通知 DDoS 保护服务 SharkTech, Smominru 的指挥和控制基础设施已经被检测到，但是他们没有得到回应。 正如 Cointelegraph 在 1 月 28 日报道的那样，通过在线广告进行大规模的门罗币挖掘恶意软件攻击，主要是由于有争议的加密货币挖掘和广告平台 cove，影响了全球范围内的大量用户和在线业务，包括 Youtube。 稿源：九个亿财经，封面源自网络；

PaloAlto Networks 安全专家近期发现了一项大规模的加密货币挖矿活动，旨在使用开源的 XMRig 工具挖掘门罗币。目前该攻击活动已持续 4 个多月，涉及全球系统数量约达 3000 万，最受影响的国家有泰国（3,545,437），越南（1,830,065）和土耳其（665,058）。 据安全专家介绍，攻击者使用 VBS 文件和 URL 缩短服务来部署采矿工具。例如当攻击者使用 Adf.ly 短网址服务时，只要用户点击链接就会被重定向，随后下载加密货币挖矿软件 。 安全专家认为 Monero 的挖掘操作非常庞大，因为目前研究人员已经检测到超过 250 个独特的 Microsoft Windows PE 文件，其中大部分是从在线云存储提供商 4sync 下载的。 这些文件具有通用名称，可能是因为源自文件共享服务。 攻击者通过 VBS 文件执行 XMRig 挖矿软件，并利用 XMRig 代理服务来隐藏最终的矿池目的地。 此外，研究人员还注意到攻击者使用了 Nicehash 市场来交易哈希处理能力。 据 PaloAlto 的专家介绍，去年 10 月 20 日是该货币挖掘行动的一个里程碑，在此之前攻击者是使用 Windows 内置的 BITSAdmin 工具来从远程位置下载 XMRig 。（注意：一般情况下，最终的 playload 主要是由 “ msvc.exe ” 安装的。） 在 10 月 20 日之后，安全专家观察到攻击者开始使用 HTTP 重定向服务。 而在 11 月 16 日起，攻击者改变了恶意软件的攻击策略： 他们不再使用 SFX 文件，而是重新采用了一种在 Microsoft .NET Framework 中编译的可执行文件，该文件将 VBS 文件写入磁盘并修改受害用户的运行注册表项，以确保持久性。 目前安全人员观察到攻击策略最后一次改变是在 2017 年 12 月下旬，攻击者改变了用来部署恶意软件的 dropper： 在放弃 . NET 之后，他们使用 Borland Delphi 编译的 dropper 来创建必要的 VBS 文件。 与 .NET droppers 不同的是，这个特定的 dropper 将 VBS 文件放在受害用户的启动文件夹中，目的是为了获得持久性 。 令人奇怪的是，规模如此庞大的一个门罗币挖矿活动竟然在这么长的时间内都没有引起人们的注意，相关安全专家认为这种情况很是反常。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

近日，YouTube 视频网站用户抱怨他们的反病毒程序在访问 YouTube 时检测到了加密货币挖掘代码。据安全专家的研究发现，有黑客将一段恶意 JavaScript 注入网站和广告中，用户加载 Youtube 的时候，名为 Cryptojacking 的恶意代码就会启动，占用掉用户 80% 的 CPU 性能来挖掘一个名为 Monero 的加密货币。 Monero（门罗币）是一种新型的加密虚拟货币，它比之前的比特币更加匿名，用户交易时完全隐蔽，因而受到矿工们的热烈欢迎。而 Cryptojacking 正是基于挖掘门罗币提出的一个脚本程序，本意是为网站用户和脚本所有者建立一种协议，脚本所有者利用用户电脑CPU采矿，用户换取免费的电影、去广告等等。 但是，人总是贪婪的，这个脚本很快就泛滥开来，一些黑客开始无节制得利用 Cryptojacking 在别人电脑上挖矿，甚至将用户的 CPU 占用 90% 以上。去年，一些黑客开始将 Cryptojacking 做成病毒的形式植入到各种网站上，用户只要打开这些网站，电脑就会被劫持作为黑客的挖矿工具。 这也不仅仅是针对外网，2017 年 11 月，就有消息称中国电信江苏分公司校园门户网站提供下载的“天翼校园客户端”被植入后门病毒，学生运行安装包以后，该后门病毒接受黑客远程指令，利用中毒电脑刷广告流量和挖矿生产“门罗币”，还有之前星巴克的公共 Wi-Fi 也出现了类似劫持脚本。 目前，门罗币的价格约在 300 到 400 美元之间浮动，而且总体呈上涨趋势，估计网络上还会出现更多劫持病毒，提醒大家尽量不要在网络上胡乱下载文件和点击不明出处的广告。 稿源：cnbeta.com，封面源自网络

安全研究人员报告，攻击者正利用一个 Web 应用服务器漏洞入侵 PeopleSoft 和 WebLogic 服务器，其意图不是偷窃数据而是挖掘门罗币。根据研究人员的分析，一名攻击者至少获得了 611 个门罗币，价值超过 22 万美元。 攻击者被认为利用了 360 研究人员上个月披露的一个漏洞利用 PoC。在 PoC 公布之后，世界不同地点托管的没有打上补丁的服务器就被入侵安装了挖掘脚本。 研究人员称，这不是一次针对性的攻击，当一个漏洞利用披露之后，任何具有有限脚本能力的人都能参与发动攻击。 稿源：cnBeta、solidot，封面源自网络；

安全公司 AlienVault 的研究人员发现了挖掘门罗币的恶意软件，并追踪到挖掘出来的资金流入了一家朝鲜大学。这显示出，随着制裁迫使朝鲜寻找替代收入来源，朝鲜黑客盯上了数字货币。 挖掘出的资金会自动流入一个域名属于金日成大学的服务器，黑客想取得这些资金要键入三个字母的密码：KJU，这可能是朝鲜领导人金正恩 ( Kim Jong Un ) 名字的首字母。恶意程序的代码写的并不高明，意味着这更可能是一个在校生干的，而不是朝鲜精英黑客组织 “ Lazarus ” 所为。 网络安全研究人员说，近几个月来，平壤黑客专门针对门罗币，他们在受感染的银行和私人公司服务器上猎寻该加密货币。 稿源：cnBeta、solidot，封面源自网络；

近年来，随着加密货币的价格被不断炒高，黑客们也动起了歪脑筋来获利。根据赛门铁克今日发布的一份报告，公共网站被黑客挂上挖矿脚本的情况有变得更加严重的趋势。一旦运行，这些脚本会导致访客机器的 CPU 资源被长时间大量占用。而与传统恶意软件相比，加密货币显然更有赚头。通常情况下，反病毒工具会识别并阻止类似的程序。据此，赛门铁克得以描绘出一张有关恶意挖矿脚本的 “ 全球攻势图 ”。 据赛门铁克所述，最近几周，挖矿程序有着愈演愈烈的趋势。这些脚本大多与门罗币（Menero）相关 —— 因其算法对 CPU “ 更加友好 ” 一些 —— 而不是比特币（Bitcoin）或以太坊（Ethereum）。 仅在 11 月下旬，该公司就日常检测并清除了 300 万次，当时门罗币的价格刚开始升到 200 美金以上。但截至 12 月 16 日，这款数字货币已经涨到了 350 美元。 价格走势方面，数字货币大多向“老大”比特币看齐。而最受黑客青睐的后台挖矿脚本，就是今年 9 月份冒头的 Coinhive 。 虽然许多安全企业迅速将它压了下去，但 Coinhive 的官网并未消失，而是换了个“选择加入”的门头。此外赛门铁克的研究显示，原来的插件依然活跃。 由于加密货币的开采性质，这款插件可以在后台运行很长一段时间。为了获取更多的收益，黑客们最喜欢找流媒体站点下手。但在很多情况下，网站的拥有者并不知情。 今年 9 月的时候，外媒报道了两家后台被植入 Coinhive 的直播间，甚至还有以 “ Chrome 浏览器扩展 ” 的形式出现。此外盗版网站为了有目的性地增加收入，也会短暂地安装挖矿程序。 更糟糕的是，黑客们来移动设备都没有放过。赛门铁克已经发现了许多带有挖矿脚本的 Android App —— 尽管受 CPU 性能所限，移动设备挖矿的效率并不高。 2017 年以来，赛门铁克已经发现了 35 款不同的 Android 挖矿应用，较去年增长了 34% 。 稿源：cnBeta，封面源自网络；编辑：榆榆

安全专家表示，一开始出现利用访问者浏览器挖门罗币的 JS 脚本时，人们称赞它是一种替代侵入式广告的方式，能为网站带来新的收入。随着嵌入 JS 脚本的网站增加，提供类似服务的 JS 挖矿程序也越来越多。据称，中国也出现了一个叫 ProjectPoi 的挖矿脚本。 目前，有多少嵌入挖矿脚本的网站放弃了广告？多少网站通知了用户或者提供了方法让用户选择关闭挖矿程序？换句话说，很多情况下，这些挖矿脚本的行为就像恶意程序，未经许可侵入用户的计算机和利用计算机资源。对此，广告屏蔽工具现在成了防止劫持 CPU 的安全工具，其浏览器采矿日益流行及恶化。 稿源：solidot奇客，封面源自网络；

据外媒 9 月 7 日报道，网络安全公司 Radware 研究人员近期发现黑客组织 CodeFork 利用新型“无文件”恶意软件“Gamarue”感染目标系统、规避杀毒工具检测，旨在挖掘加密货币 Monero（门罗币）增加自身收益。 黑客组织 CodeFork 自 2015 年以来一直处于活跃状态，其主要通过出售恶意服务（例如：分发电子垃圾邮件、蠕虫病毒或下载恶意程序）攻击目标设备。目前，受害目标已广泛分布于全球不同行业。 调查显示，黑客组织 CodeFork 所使用的恶意软件“Gamarue”具备无文件持久性技术，即允许攻击者绕过目标系统安全检测后通过 C&C 服务器下达指令，从而下载并执行改进版 xmrig.exe（门罗币矿工）挖掘货币。因此，一旦攻击者利用该恶意软件感染目标系统后，其磁盘驱动器上将不会留下任何可疑文件，从而能够使攻击者在受感染机器上停留更长时间传播恶意软件、挖掘加密货币 Monero。此外，在该攻击活动中，“Gamarue”并不会入侵目标设备硬盘驱动器，而是通过已安装应用程序感染内部存储器。 目前，研究人员尚不了解黑客组织 CodeFork 攻击范围，也不清楚当前已有多少目标系统遭受感染。不过，安全专家警示，该黑客组织一定会继续分发恶意软件变种，并寻找最新途径绕过当前保护措施。 原作者：Jason Murdock ，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

勒索软件 WannaCry 背后的操作者将其勒索到的比特币从钱包转出，兑换成无法跟踪的门罗币。比特币是去中心化数字货币，但并不匿名，所有交易都记录在案，可公开查询和跟踪。 门罗币（Monero，代号 XMR）诞生于 2014 年，着重于隐私、匿名性和不可跟踪。安全研究人员发现，WannaCry 勒索到的 52.2 比特币经过多笔交易转到了与门罗币相关联的钱包。门罗币也得到了神秘黑客组织 Shadowbrokers 的青睐，它的付费订阅服务接受门罗币。 稿源：solidot奇客，封面源自网络