情境示意圖,Photo by Hector Reyes on Unsplash

又屆新年假期,歐美許多大片紛紛上檔,但也成了資安陷阱。安全廠商近日觀察到有駭客假借蜘蛛人最新電影《蜘蛛人:無家日》散布Monero挖礦軟體。

ReasonSecurity偵測到惡意執行檔,名為spiderman_net_putidomoi.torrent.exe,這字串是俄文「spiderman_no_wayhome.torrent.exe」翻譯而來,可能源自一個俄語影片交換網站。這執行檔安裝後會關閉Microsoft Defender偵測以維持潛伏,最後在用戶電腦植入Monero挖礦程式。

Spiderman是以.Net撰寫,未獲得簽章,在揭露之前都沒有被上傳到Virus Total上,顯示未引發注意。原因之一是它下載的檔案使用知名且合法名稱,例如宣稱是由Google提供、植入檔名為sihost64.exe的檔案,並且注入svchost.exe(是Windows裡專門用來執行DLL程式的前導程式)。

原因之二是它具有躲避偵測的手法。分析顯示,它在執行後,會立即建立排程作業名為services註冊機碼,以便每次用戶登入後執行。之後它砍掉真正的合法檔案,以建立2個冒充合法的sihost64.exe和svchost.exe檔案,其中sihost64.exe為watchdog行程,而svchost.exe即為挖礦軟體,藉由這些名稱躲過安全軟體偵測。同時它還在Microsoft Defender的例外清單加入以下類別,包括使用者設定檔下所有資料夾、系統磁碟(C:\\槽)及所有附檔名為.exe或.dll的檔案,以便躲過微軟防毒工具的偵測。

研究人員還發現這隻程式具有躲避主要監控工具,包括Process Explorer、Process Hacker、Perfmon及工作管理員的能力。

挖礦軟體冒充合法軟體,或是受歡迎內容散布的例子屢見不鮮。研究人員指出,雖然此類程式不見得有真正危害,但是它是幕後執行,也會造成過度耗電及佔用CPU頻寬,使電腦跑得很慢。

研究人員建議用戶對來自非官方來源的內容要格外留心,不論是不明來源的郵件附檔、破解檔或BT網站下載的檔案。此外,研究人員也提醒,如果是影片,檔案附檔應為.mp4,而非.exe。為防惡意程式隱藏副檔名,在資料夾上方找到「檢視」選單,勾選「副檔名」即可顯示完整副檔名。

熱門新聞

Advertisement