概述
据Doctor Web公司报道,在Telegram和一些网站上发现的盗版软件中隐藏着加密货币挖矿木马的案例有所增加。
2023年12月,Doctor Web公司的病毒分析人员注意到Trojan.BtcMine.3767及其配套恶意软件Trojan.BtcMine.2742的检出率有所提高,事实证明,这些恶意软件最终被盗版软件入侵了用户的电脑。
Trojan.BtcMine.3767是用C++编写的Windows木马程序。它是一个基于SilentCryptoMiner项目的加密矿工加载器。用于分发受感染软件包的平台是 t[.]me/files_f Telegram 频道(超过 5,000 名订阅者)和 itmen[.]软件和软件[.]sibnet[.]RU网站。有趣的是,在后一种情况下,黑客加倍努力,使用 NSIS 安装程序准备自定义构建。在解压缩安装包后,我们的分析师发现了攻击者用于存储木马源文件的路径:
C:\bot_sibnet\Resources\softportal\exe\
C:\bot_sibnet\Resources\protect_build\miner\根据Dr.Web恶意软件分析实验室的数据,在不到两个月的时间里,该木马在一次分发活动中感染了超过40,000台计算机。考虑到Telegram的浏览量和网站流量,问题的规模可能要大得多。
启动时,加载程序会将自身复制到名为 updater.exe 的 %ProgramFiles%\google\chrome\ 目录中,并创建一个调度程序任务,以便它可以在启动时运行。为了使其看起来无害,该任务被命名为 GoogleUpdateTaskMachineQC。此外,加载程序会将其文件添加到 Windows Defender 例外中,并防止计算机关闭和休眠。初始设置嵌入在特洛伊木马中,然后从远程主机进行更新。初始化后,加载程序将负责隐藏加密货币挖掘的有效负载Trojan.BtcMine.2742注入explorer.exe进程。
此外,该加载程序允许在受感染的计算机上安装 r77 无文件rootkit,禁用 Windows 更新,阻止网站访问,自动删除和恢复木马源文件,暂停加密挖掘过程,以及在计算机用户运行进程监控程序时卸载矿工占用的 RAM 和 VRAM。
IOC
Domain
t[.]me/files_f
soft[.]sibnet[.]ru
promo3010[.]click
itmen[.]software/office/aktivator
mega[.]nz/file/M3VkwS6R#5s4clQ9aEE8kesscEF3vzAC5eVh9a-vCt4DMCTuJtZETrojan.BtcMine.2742
673b6be8163580ba70403321663f5edbb0565f12
feb0501ac141df63cc0d5bb341cb24a769f81bc9
bfab9c8da1f969b07e4e7f0bd1aa9865fd7a9d3c
5918bbf71641c2776f20bdd2fc08c82dc17178ccTrojan.BtcMine.3767
4ffae4669eba9938639662667f5430a806e56980
7717e9c5d85e77653bf65e57ed20f89086c3e3ed参考链接:https://news.drweb.com/show/?i=14792&lng=en&c=5
图片来源网络目标可联系删除
