Elastic Security Labs研究员本周报告显示,这个以盈利为目的的行动不光挖矿,还搞CPA欺诈,让受害者点进伪装成软件注册的内容锁页面变现。攻击从ISO文件起步,这玩意儿伪装成合法安装器,里面藏着.NET Reactor保护的加载器,外加一条绕过Microsoft Defender SmartScreen的文字提示:点“更多信息”再“仍要运行”。加载器一触发,就叫PowerShell干活,设置一堆杀软排除项,让CNB Bot悄无声息上线,同时屏幕弹错误窗“系统配置不够,联系支持”,骗用户以为软件坏了。CNB Bot是个全能加载器,能拉新payload、自升级、卸载痕迹,还用HTTP POST跟C2服务器聊天。链上数据显示,四笔钱包地址累计27.88 XMR进账,平均每个超7个币,操作稳赚不赔。短平快。其他变种用类似ISO扔PureRAT、PureMiner,或自家.NET版XMRig加载器,从硬编码URL拽矿工配置直接开挖。
攻击者爱玩花样,最近像FAUX#ELEVATE行动那样,劫持合法签名驱动WinRing0x64.sys,直入内核改CPU参数,拉高hash率。这招从2019年12月就加进XMRig矿工,好多挖矿团伙都抄。Elastic还挖出另一条线,丢SilentCryptoMiner,这货用系统调用躲检测,关Windows休眠和冬眠,设计划任务持久化,再用Winring0.sys调CPU,还派看门狗进程盯着,一删就复活。太狠了。整个链条从ISO诱饵到矿工全自动化,用户下载假软件以为升级,结果电脑变矿机。The Hacker News援引分析,团伙还把GitHub当免费CDN,两账号塞满二进制payload,下载执行全靠微软家平台,杀软懒得管,检测成本直降。
挖矿热潮不退,现货市场BTC报$66,565(24h -0.02%),XMR这波操作虽小众,收益换算当下价位也够买辆二手车。REF1695不走寻常路,绕SmartScreen、滥GitHub、用老驱动提效,纯属老江湖。企业用户点ISO前多瞅瞅来源,杀软排除一改,矿工就藏深了。行业里这类事层出,去年类似团伙蒸发上亿算力,这次27.88 XMR只是冰山角,背后C2和钱包得盯牢。玩家们醒醒,加密世界黑产从不缺脑洞,下个ISO说不定就是坑。