安全公司SophosLabs发现,加密货币采矿僵尸网络运营组织MyKings,会将恶意程序嵌入到Taylor Swift的照片中,用来部署各种加密货币采矿应用程序的更新。这个称为MyKings的僵尸网络,又或被称作DarkCloud和Smominru,主要是以Windows服务器为目标,中国为主要灾区。
MyKings会在网络上对Windows服务器进行一系列的攻击,这些服务器托管各种服务,包括MySQL、Telnet、ssh、远程桌面甚至是CCTV摄影机的存储服务器等。当管理员没有即时替服务器安装更新补丁,就可能存在漏洞遭到入侵,MyKings攻击者会在服务器安装一个称为Forshare的木马。
官方提到,他们研究发现受感染的端点约有43,900个不重复的IP地址,这些数量还是仅记录具有公共IP地址的端点,使用本地端IP的端点没有在计算范围。这些端点传播在中国、台湾、俄罗斯、巴西、美国、印度和日本七个国家。
虽然僵尸网络本身并没有什么特别之处,尤其是用来挖矿的僵尸网络还算常见,但特别的是,MyKings的攻击手法不断推陈出新,现在使用了隐写术(Steganography)以图片文件隐藏恶意的Windows可执行文件,试图骗过安全侦测软件的检查。MyKings攻击者将经过变造的Taylor Swift图片上传到公共存储库上,为僵尸网络提供更新,由于服务器不会将图片文件视作恶意文件,因此增加了通过侦测的机会。
研究人员表示,MyKings还通过重复机制增加自己的存活能力,MyKings由多个组件组成,每个组件都执行相似的自我更新程序,并使用各种命令组合不停地重复执行各种工作,即便计算机删除了僵尸网络中大多数的组件,剩下的组件也可以通过自我更新,完全恢复所有的功能。
MyKings僵尸网络目前已经赚走了虚拟货币Monero 9000 XMR,折合货币价值约为300万美元,研究人员提到MyKings僵尸网络收入现在每天只有约为300美元,这是因为Monero汇率较低的原因。