导语：趋势科技最近发现了一种新的加密货币挖掘工具Digmine，它正在通过桌面聊天工具Facebook Messenger传播。Digmine最早出现在韩国，韩国安全研究人员将其命名为“bot”，随后越南、阿塞拜疆、乌克兰、越南、菲律宾和泰国也相继出现。 　　

　　

　　 　　

　　

　　趋势科技最近发现了一种新的加密货币挖掘工具Digmine，它正在通过桌面聊天工具Facebook Messenger传播。Digmine最早出现在韩国，被韩国的安全研究人员命名为“bot”，随后越南、阿塞拜疆、乌克兰、越南、菲律宾、泰国、委内瑞拉相继出现。 　　

　　

　　虽然Facebook Messenger可以在不同平台之间运行，但是Digmine只影响在Chrome上运行的Facebook Messenger。Digmine如果在其他平台(比如移动平台)打开，将无法正常工作。 　　

　　

　　Digmine内置了门罗币挖矿软件和一个恶意的Chrome扩展，试图尽可能的留在用户的系统中，以便伺机感染更多的用户设备。 　　

　　

　　 　　

　　

　　迪格明的攻击链 　　

　　

　　受害者通常会收到一个名为video_xxxx.zip的文件(其中xxxx是一个四位数)。该文件隐藏了一个EXE文件。不小心运行这个文件的用户会感染Digmine。 　　

　　

　　Digminer是用AutoIt编写的，除了联系远程命令和控制(CC)服务器寻求指示外，几乎没有其他功能。 　　

　　

　　伪装成视频的攻击策略 　　

　　

　　Digmine被编码在AutoIt中，向用户发送伪造的视频文件。但实际上，该文件是一个AutoIt可执行脚本。如果用户的脸书账户被设置为自动登录，Digmine将能够操纵Facebook Messenger将文件的链接发送给该账户的好友，从而感染更多用户的设备。 　　

　　

　　 　　

　　

　　挖掘通过Facebook Messenger发送的链接(上图)和伪装成视频的文件(下图) 　　

　　

　　Digmine只是一个下载程序。它将首先连接到C & ampC server读取其配置并下载多个组件。初始配置包含下载组件的链接，其中大部分也托管在同一个C & ampc服务器。它将下载的组件保存在% %appdata% username目录中。 　　

　　

　　 　　

　　

　　下载的配置(顶部)和下载的组件(底部) 　　

　　

　　Digmine还会执行其他进程，比如安装注册表自动启动机制和系统感染标志。它将搜索并启动Chrome，然后加载从C & ampc服务器。如果Chrome已经在运行，恶意软件会终止并重启Chrome，以确保加载扩展。通常情况下，Chrome插件只能从官方的Chrome插件库中下载安装。但事实证明，攻击者仍然利用Chrome命令行参数成功安装了这个恶意插件。 　　

　　

　　 　　

　　

　　自动启动注册表项中的Digmine Downloader组件(顶部)和指示恶意软件感染系统的标记(底部)。 　　

　　

　　 　　

　　

　　当前运行的Chrome进程被终止(上图)，然后Chrome重新加载参数以加载扩展(下图) 　　

　　

　　扩展将从C & amp它可以指示扩展继续登录到脸书或打开一个将播放视频的虚假页面。 　　

　　

　　伪装的视频网站也是C & ampc结构。这个网站会伪装成视频媒体网站，但实际上包含了恶意软件组件的很多配置。 　　

　　

　　 　　

　　

　　伪装视频网站的配置链接 　　

　　

　　 　　

　　

　　浏览器扩展使用的初始配置 　　

　　

　　Di 　　

gmine的传播机制

　　

这个Chrome浏览器插件的主要作用是访问受害者的Facebook Messenger配置文件，并向受受害者的所有联系人发送包含video_xxxx.zip文件的消息。

　　

研究人员表示，这种自我传播机制只适用于使用Chrome浏览器登录Facebook Messenger且选择了默认自动登录的受害者。如果受害者仅仅是使用Chrome浏览器登录，但并没有选择默认自动登录，则这种机制是无效的。因为，在这种情况下，它无法进入Facebook Messenger的消息编辑及发送界面。而在默认自动登录的情况下，恶意软件会通过从C＆C服务器下载附加代码来完成。

　　

由于可以添加更多的代码，Digmine与Facebook的相互相应可能会在未来出现更多的攻击功能。

　　

　　

从C＆C服务器获取的允许与Facebook交互的附加代码

　　

挖掘组件

　　

研究人员表示，目前，Digmine会从C＆C服务器下载两个关键组件：一个门罗币挖矿工具和一个Chrome浏览器插件。同时，Digmine还会添加一个基于注册表的自启机制，并安装这两个组件。

　　

挖矿模块将由挖矿管理组件codec.exe下载，它将被连接到另一台C＆C服务器来检索挖矿及其相应的配置文件。

　　

挖矿组件miner.exe是一个被称为XMRig的开源门罗币挖矿工具的迭代，此次的挖矿工具被重新配置为使用config.json文件执行，而不是直接从命令行接收参数。

　　

　　

挖矿配置（顶部）和codec.exe代码启动的挖矿组件（底部）

　　

C＆C通信和协议

　　

下载程序和挖掘管理组件都使用特定的HTTP标头进行通信，下载初始配置时，恶意软件在发送到C＆C服务器之前会构造HTTP GET请求。

　　

GET /api/apple/config.php HTTP/1.1Connection: Keep-AliveAccept: */*User-Agent: MinerWindow: <Window name of active window>ScriptName: <filename of malware>OS: <OS version>Host: <C&C>Facebook正努力阻止Digmine传播

　　

Digmine 挖矿工具被披露后，Facebook 迅速从其平台上删除了许多与 Digmine 相关的链接。 Facebook 在官方声明中表示， 目前 Facebook 维护了许多自动化系统，以帮助阻止有害链接和文件。不过，这仅仅是一种紧急解决措施，攻击者完全可以创建一个新的连接来开展Digmine的分发活动。

　　

Facebook发言人说：

　　

我们对一些自动化系统进行了配置，以帮助我们阻止恶意链接和恶意文件出现在Facebook或者Messenger上。如果我们怀疑某个用户的计算机感染了恶意软件，我们将向用户提供免费的反病毒扫描程序。另外，我们也将在facebook<.>com/help上分享有关如何保持安全的建议，以及这些扫描程序的下载链接。

　　

研究人员建议，为了避免这些类型的威胁，用户需更加警惕社交媒体帐户的使用，比如注意可疑和未经请求的消息、 启用帐户的隐私设置、点击链接或者分享信息时先进行确认。

　　

未来的攻击趋势预测

　　

加密货币的兴盛，也让这里成了攻击者的新战场，从目前的趋势来看，很多攻击者都在传播恶意软件时，顺便挖点矿，实现攻击利益的最大化，我相信这种模式未来会成为流行模式。

　　

IoCs

　　

TROJ_DIGMINEIN.A（SHA256）的哈希：

　　

beb7274d78c63aa44515fe6bbfd324f49ec2cc0b8650aeb2d6c8ab61a0ae9f1d

　　

BREX_DIGMINEEX.A（SHA256）的哈希：

　　

5a5b8551a82c57b683f9bd8ba49aefeab3d7c9d299a2d2cb446816cd15d3b3e9

　　

TROJ_DIGMINE.A（SHA256）的哈希：

　　

f7e0398ae1f5a2f48055cf712b08972a1b6eb14579333bf038d37ed862c55909

　　

与Digmine相关的C＆C服务器（包括子域名）：

　　

vijus<.>bid

　　

ozivu<.>bid

　　

thisdayfunnyday<.>space

　　

thisaworkstation<.>space

　　

mybigthink<.>space

　　

mokuz<.>bid

　　

pabus<.>bid

　　

yezav<.>bid

　　

bigih<.>bid

　　

taraz<.>bid

　　

megu<.>info

　　

原文地址： http://www.4hou.com/info/news/9461.html