2017年9月,众多小说与游戏网站悄然在页面中嵌入挖矿JavaScript代码。用户访问这些网站时,脚本会自动运行,大量占用设备资源用于挖掘加密货币,致使电脑运行严重迟缓。这一现象被腾讯安全2017年度互联网安全报告披露。
1、 腾讯安全2017年互联网安全报告将挖矿木马发展分为三阶段,首阶段为僵尸网络挖矿。
2、 挖矿木马不再是藏身于普通软件,而是沦为僵尸网络拓展的新业务,实现了挖矿、DDoS攻击双重功能。
3、 2017年5月被发现的Adylkuzz僵尸网络,比WannaCry更早出现,影响了全球数十万台设备。有趣的是,该病毒在入侵成功后,会利用永恒之蓝漏洞阻止其他病毒使用此类漏洞,从而在一定程度上遏制了WannaCry的扩散。一旦木马入侵成功,便会连接到C&C服务器,接收挖矿指令。目前可知,该木马专门用于挖掘门罗币,对受影响设备造成持续性负担。
4、 第二阶段:隐藏期,通过植入普通软件进行挖矿。
5、 下半年进入遮掩期,挖矿木马隐藏于浏览器、插件及外挂辅助等普通软件中传播。
6、 浏览器插件进行挖矿操作
7、 2017年底,一款名为Archive Poster的浏览器插件被曝植入挖矿木马,波及数十万台用户设备。该插件主要用于协助用户在社交平台汤不热上实现多账号协同操作。开发者调查后表示,问题源于一名前团队成员的邮箱遭黑客入侵,进而导致插件被嵌入挖矿木马程序。
8、 使用外挂工具进行挖矿
9、 2017年底,腾讯电脑管家发现一款名为tlMiner的挖矿木马,它藏身于绝地求生外挂程序中传播。由于绝地求生对电脑配置要求较高,不法分子将目标锁定在性能强大的玩家设备上,将其当作理想的挖矿工具。这款木马由一个游戏外挂团队投放,单日受影响用户多达20万。
10、 第三阶段:隐匿期,网页挖矿盛行。
11、 下半年进入隐身期,挖矿木马不再以可执行文件形式落地,而是嵌入网页中,用户上网看小说、视频时,它在后台悄悄运行。
