當正常大部份人在2024年最後數小時忙於慶祝新一年即將來臨之際,網絡犯罪份子也忙於散播加密貨幣的挖礦工具,雖然是以電玩遊戲作為包裝,但受害者除了家用電腦,同時包括一些企業裝置。
倒數時段的惡意活動
在2024年12月31日的最後幾小時,網絡犯罪份子並沒有準備倒數,而是忙於散播XMRig加密貨幣挖礦工具,儘管大部份偵測都來自家用保安方案,但仍發現部份來自企業系統,經調查後發現犯罪份子利用遊戲的torrent散播惡意程式,主要攻擊目標是俄羅斯、巴西和德國的玩家。此惡意活動被命名為「StaryDobry」,散播活動在9月至12月之間逐步上載到torrent網站,而受或染的遊戲經過重新包裝,修改後的版本已被破解,藉此吸引玩家下載。
用戶在下載和安裝該木馬化的遊戲後,惡意活動並不會立即展開,直至12月31日,程式接收到攻擊者遠端伺服器的指令,在被感染的裝置上下載和執行挖礦工具,被木馬他的遊戲包括《Garry’s Mod》、《BeamNG.Drive》和《Universe Sandbox》。研究員經過測試後發現惡意程式在啟動前,會檢視是否在debug環境或沙盒內執行,一旦發現便會立即停止,其次是挖礦工具是經過輕微修改的XMRig執行程式,首次發現早在2020年,最後是如果感染裝置的CPU是8核或以下,挖礦工具並不會執行,詳細技術資料可以瀏覽Securelist。
企業網絡防範挖礦工具
這次在企業裝置上發現StaryDobry的攻擊,無非是因為有員工利用公司的裝置下載和執行遊戲,幸好XMRig是挖礦工具而不會盜竊資料,但並不保證下次不會內藏加密勒索程式,只要員工繼續用工作電腦安裝盜版遊戲,相關的惡意程式仍有機會潛入企業的系統內。所以首要是在保安措施等級封鎖執行torrent(除非公司的工作有需要),最「理想」的情況是非工作相關的軟件都完全禁止,此外,在所有裝置安裝可靠的防護方案,以及培訓員工對資安的基礎知識也同樣重要,因為大部份攻擊突入點都在人的行為身上,教育員工辨別和應對數碼威脅成為不可缺少的部份。
資料來源:Kaspersky Blog
