2017年底,腾讯电脑管家发现一款名为“tlMiner”的挖矿木马在2017年12月20日的传播量达到峰值,当天有近20万台机器受到该挖矿木马影响。此次发现的“tlMiner”挖矿木马,植入在“吃鸡”游戏(steam版绝地求生)外{过}{滤}挂“吃鸡小程序”中。由于“吃鸡”游戏对电脑性能要求较高,黑产团伙瞄准“吃鸡”玩家、网吧的高配电脑,搭建挖矿集群。 腾讯电脑管家立即配合守护者计划将该案线索提供给警方,协助山东警方于2018年3月初立案打击“tlMiner”木马黑产。 据分析,“tlMiner”木马作者在“吃鸡”游戏外{过}{滤}挂、海豚加速器(修改版)、高仿盗版视频网站(dy600.com)、酷艺影视网吧VIP等程序中植入“tlMiner”挖矿木马,通过网吧联盟、论坛、下载站和云盘等渠道传播。 木马作者通过以上渠道植入木马,非法控制网吧和个人计算机终端为其个人挖矿,仅HSR数字币(每枚最高售价超200元人民币)已查实挖矿1400枚,警方现场查扣到嫌疑人其中一个数字货币钱包中的余额超过18万。 针对这一情况,腾讯守护者计划安全团队继续加深对挖矿木马黑产链条的研究,协助警方深挖,进一步分析挖掘到木马作者上游:一个公司化运营的大型挖矿木马黑色产业链。 4月11日,警方在辽宁大连一举破获这个挖矿木马黑产公司。该公司为大连当地高新技术企业,为非法牟利,搭建木马平台,招募发展下级代{过}{滤}理商近3500个,通过网吧渠道、吃鸡外{过}{滤}挂、盗版视频软件传播投放木马,非法控制用户电脑终端389万台,进行数字加密货币挖矿、强制广告等非法业务,合计挖掘DGB(极特币)、HSR(红烧肉币)、XMR(门罗币)、SHR(超级现金币)、BCD(比特币钻石)、SIA(云储币)等各类数字货币超过2000万枚,非法获利1500余万元。 该案为国内首例利用挖矿木马组建僵尸网络,非法控制计算机挖矿的案件,黑产公司通过在游戏外{过}{滤}挂、盗版视频网站客户端中植入挖矿木马,控制超过389万台电脑组建挖矿僵尸网络,形成集群算力,掘金区块链数字加密货币。 挖矿木马最早出现于2013年,但一直并未被外界关注。2017年,由于勒索病毒的大规模爆发,区块链和数字加密货币概念火爆,数字加密货币交易价格不断走高,受利益驱使,2018年挖矿木马成为最流行的木马,控制肉鸡电脑挖矿成为掘金最快的网络黑产。 这个位于大连的“tlMiner”挖矿木马团伙,并不是腾讯安全捕捉到的规模最大的一个。2018年4月,腾讯御见威胁情报中心曾监控到一个遍布全球的PhotoMiner木马挖矿组织,该组织通过入侵感染FTP服务器、SMB服务器暴力破解来扩大传播范围,自2016年首次被发现至今,PhotoMiner木马团伙通过门罗币挖矿累计收入已达到令人惊叹的8900万人民币,是2018年上半年的“黄金矿工”。 由于挖矿木马的隐蔽性,即使用户电脑感染木马也不容易即时感知到。因当前个人电脑的主流配置性能很强,即使木马已经在挖矿,性能变差的直观感受也并不明显。只有挖矿木马启动挖矿程序,同时用户启动较耗资源的应用,比如大型游戏。此时才会感觉电脑速度变慢,温度升高,风扇噪音增加等现象。 用户电脑被植入挖矿木马后,挖矿木马会充分利用系统资源,增加硬件消耗和电力消耗,会相应缩短电脑使用寿命。腾讯安全专家建议用户谨慎使用那些游戏外{过}{滤}挂、破解软件、视频网站客户端破解工具,这些软件被人为植入恶意程序的概率较大,建议用户使用腾讯电脑管家加以拦截。
|