▌作者:Catalin Cimpanu
▌翻译:360代码卫士团队
前言
一名恶意软件作者创建出一款新型密币挖机,感染使用开放或默认Telnet凭证的Lniux设备。
Dr. Web将这个新型木马称为 “Linux.BTCMine.26(以下简称为“BTCMine”)”,它会挖掘门罗币而且仅针对x86-64和ARM硬件基础架构。
通过不安全的Telnet端口感染Linux设备
研究人员指出,这款木马使用类似于Mirai物联网恶意软件部署的Telnet扫描器发动攻击。BTCMine会扫描随机的IPv4地址并尝试通过Telnet端口连接。
如果端口是开放的或者用户使用了默认凭证,那么恶意软件就会连接并运行命令来下载并运行真正的BTCMine二进制。
这款木马之所以引人注意是因为它多次提到了krebsonsecurity.com网站,它是信息安全调查记者Brian Krebs的个人博客。
BTCMine并非首款提到Krebs或其博客的恶意软件,因为Krebs在安全研究人员和恶意软件作者中间非常有名。近年来,恶意软件开发人员在代码中侮辱或怒吼Krebs。
密币矿机的数量越来越多
BTCMine只是更大趋势的一部分。近几个月来,来自多家安全公司的研究人员已发现很多新兴的密币挖矿机:
* CoinMiner:通过NSA“永恒之蓝”针对Windows的挖矿机
* DevilRobber:最近再次浮出水面、针对Mac的挖矿机
* Trojan.BtcMine.1259:通过NSA DoublePulsar针对Windows的挖矿机
* EternalMiner:通过SambaCry缺陷针对Windows的挖矿机
* Adylkuzz:通过NSA的“永恒之蓝”针对Windows的挖矿机
* Bondnet:通过RDP针对Windows服务器的挖矿机
* NsCpuCNMiner:针对Seagate NSA设备的挖矿机
* Various挖矿机:针对新密币Zcash的挖矿机
这种趋势可通过新型密币如以太坊、门罗币或Zcash的受欢迎程度及其使用看出来。为了有效地挖掘比特币,用户需要拥有专门优化过的硬件工具,但掘以太坊、门罗币或Zcash则不必如此繁琐,他们只需使用普通的电脑即可获利。或者在BTCMine的案例中,只需劫持Linux服务器即可。
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
