微软安全工程团队今天披露了新型恶意程序Dexphot的完整信息，它主要劫持感染设备的资源来挖掘加密货币，并为攻击者牟利。微软表示自2018年10月以来不断有Windows设备受到感染，并在今年6月中旬达到峰值达到80000多台，微软通过部署相关策略以提高检测率和阻止攻击，随后每天感染的设备数量缓慢下降。 虽然Dexphot的最终目的就是利用受害者设备资源来挖掘加密货币，但是该恶意软件的复杂性非常高，其作案手法和技术也非常特别。微软Defender ATP研究团队的恶意软件分析师Hazel Kim说：“ Dexphot不是引起主流媒体关注的攻击类型。”他指的是恶意软件主要是为了挖掘加密货币的，而不是窃取用户数据。 Kim继续说道：“这是在任何特定时间都活跃的无数恶意软件活动之一。它的目标是在网络犯罪分子中非常普遍，就是安装一个窃取计算机资源的程序，通过挖矿为攻击者创造收入。然而，Dexphot是采用了远超日常威胁的复杂程度和发展速度，主要是为了绕开各种安全软件的保护非法牟利。” 在与ZDNet共享的一份报告中，Kim详细介绍了Dexphot的高级技术，例如，使用无文件执行，多态技术以及智能和冗余启动持久性机制。根据Microsoft的说法，Dexphot被安全研究人员称之为“第二阶段有效负载”，这是一种已经投放到已经被其他恶意软件感染的系统上的恶意软件。   （稿源：cnBeta，封面源自网络。）

据外媒报道，研究人员发现，全球超41.5万台路由器感染了旨在窃取路由器计算能力并偷偷挖掘加密货币的恶意软件。这些仍在继续的网络攻击尤其影响最严重的则是MikroTik路由器。有记录显示，针对该品牌的一系列加密攻击始于今年8月，当时安全专家发现有20多万台设备被感染。从那以后，这个数字又增加一倍多。 虽然大多数受影响的设备最初都集中在巴西，但数据显示，在全球范围内也有大量设备受到了影响。 值得指出的是，被入侵设备的数量可能略有下降，但遭到攻击的路由器总数仍相当高。 安全研究员VriesHD指出：“如果实际被感染的路由器总数在35万到40万台左右，对此我也不会感到惊讶。” 有趣的是，尽管攻击者过去倾向于使用CoinHive–一种用于面向隐私加密货币Monero (XMR)的挖掘软件–但研究人员注意到，攻击者已经开始转向了其他挖掘软件。“CoinHive、Omine和CoinImp是使用最多的服务，”VriesHD表示，“过去80%到90%用的都是CoinHive，但最近几个月已经转向了Omine。” 今年8月，研究人员报告称巴西有20多万台设备在遭到劫持后被用于秘密开采加密货币。等到9月，易受攻击设备的总数已经增加到了惊人的28万台。 好在一些受害者可以做一些事情来保护自己。来自Bad Packets Report的安全专家Troy Mursch建议受影响的MikroTik设备的用户立即下载他们设备可用的最新固件版本。VriesHD则表示ISP可以通过强制对路由器进行无线更新来帮助对抗这些恶意软件的传播。此外他还补充称：“针对这个特殊问题的补丁已经发布了好几个月了，我已经看到成千上万的ISP从名单上消失了。然而不幸的是，似乎仍有大量的ISP根本不打算采取行动来减轻攻击。”   稿源：cnBeta，封面源自网络；

PaloAlto Networks 安全专家近期发现了一项大规模的加密货币挖矿活动，旨在使用开源的 XMRig 工具挖掘门罗币。目前该攻击活动已持续 4 个多月，涉及全球系统数量约达 3000 万，最受影响的国家有泰国（3,545,437），越南（1,830,065）和土耳其（665,058）。 据安全专家介绍，攻击者使用 VBS 文件和 URL 缩短服务来部署采矿工具。例如当攻击者使用 Adf.ly 短网址服务时，只要用户点击链接就会被重定向，随后下载加密货币挖矿软件 。 安全专家认为 Monero 的挖掘操作非常庞大，因为目前研究人员已经检测到超过 250 个独特的 Microsoft Windows PE 文件，其中大部分是从在线云存储提供商 4sync 下载的。 这些文件具有通用名称，可能是因为源自文件共享服务。 攻击者通过 VBS 文件执行 XMRig 挖矿软件，并利用 XMRig 代理服务来隐藏最终的矿池目的地。 此外，研究人员还注意到攻击者使用了 Nicehash 市场来交易哈希处理能力。 据 PaloAlto 的专家介绍，去年 10 月 20 日是该货币挖掘行动的一个里程碑，在此之前攻击者是使用 Windows 内置的 BITSAdmin 工具来从远程位置下载 XMRig 。（注意：一般情况下，最终的 playload 主要是由 “ msvc.exe ” 安装的。） 在 10 月 20 日之后，安全专家观察到攻击者开始使用 HTTP 重定向服务。 而在 11 月 16 日起，攻击者改变了恶意软件的攻击策略： 他们不再使用 SFX 文件，而是重新采用了一种在 Microsoft .NET Framework 中编译的可执行文件，该文件将 VBS 文件写入磁盘并修改受害用户的运行注册表项，以确保持久性。 目前安全人员观察到攻击策略最后一次改变是在 2017 年 12 月下旬，攻击者改变了用来部署恶意软件的 dropper： 在放弃 . NET 之后，他们使用 Borland Delphi 编译的 dropper 来创建必要的 VBS 文件。 与 .NET droppers 不同的是，这个特定的 dropper 将 VBS 文件放在受害用户的启动文件夹中，目的是为了获得持久性 。 令人奇怪的是，规模如此庞大的一个门罗币挖矿活动竟然在这么长的时间内都没有引起人们的注意，相关安全专家认为这种情况很是反常。 消息来源：Security Affairs，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。