又届新年假期,欧美许多大片纷纷上档,但也成了安全陷阱。安全厂商近日观察到有黑客假借蜘蛛侠最新电影《蜘蛛侠:无家日》传播Monero挖矿软件。
ReasonSecurity侦测到恶意执行文件,名为spiderman_net_putidomoi.torrent.exe,这字符串是俄文“spiderman_no_wayhome.torrent.exe”翻译而来,可能源自一个俄语视频交换网站。这执行文件安装后会关闭Microsoft Defender侦测以维持潜伏,最后在用户计算机植入Monero挖矿程序。
Spiderman是以.Net撰写,未获得签章,在披露之前都没有被上传到Virus Total上,显示未引发注意。原因之一是它下载的文件使用知名且合法名称,例如宣称是由Google提供、植入文件名为sihost64.exe的文件,并且注入svchost.exe(是Windows里专门用来执行DLL程序的前导程序)。
原因之二是它具有躲避侦测的手法。分析显示,它在执行后,会立即创建调度作业名为services注册机码,以便每次用户登录后执行。之后它砍掉真正的合法文件,以创建2个冒充合法的sihost64.exe和svchost.exe文件,其中sihost64.exe为watchdog行程,而svchost.exe即为挖矿软件,借由这些名称躲过安全软件侦测。同时它还在Microsoft Defender的例外清单加入以下类别,包括用户设置文件下所有文件夹、系统磁盘(C:\\槽)及所有附文件名为.exe或.dll的文件,以便躲过微软杀毒工具的侦测。
研究人员还发现这只程序具有躲避主要监控工具,包括Process Explorer、Process Hacker、Perfmon及任务管理器的能力。
挖矿软件冒充合法软件,或是受欢迎内容传播的例子屡见不鲜。研究人员指出,虽然此类程序不见得有真正危害,但是它是幕后执行,也会造成过度耗电及占用CPU带宽,使计算机跑得很慢。
研究人员建议用户对来自非官方来源的内容要格外留心,不论是不明来源的邮件附件、破解档或BT网站下载的文件。此外,研究人员也提醒,如果是视频,文件附件应为.mp4,而非.exe。为防恶意程序隐藏文件扩展名,在文件夹上方找到“查看”菜单,勾选“文件扩展名”即可显示完整文件扩展名。