北京
IT之家 5 月 28 日消息,微軟于 5 月 26 日發布安全研究報告,披露一場正在全球范圍蔓延的加密挖礦攻擊,專門瞄準搭載 Windows 11、Windows 10 的高性能電腦。攻擊者不走尋常路,不直接破壞系統,而是悄悄把受害者的高端 GPU 變成日夜不停的“印鈔機”,讓用戶完全蒙在鼓里。
這場攻擊最危險的地方在于它的偽裝手段。微軟指出,攻擊者專門針對玩家、硬件發燒友和技術人員的習慣,將自己的惡意程序包裹成 CrystalDiskInfo、HWMonitor、Display Driver Uninstaller、FurMark、K-Lite Codec Pack 和 PDFgear 等 6 款常用軟件。當用戶在網上搜索這些工具時,攻擊鏈便開始啟動:搜索結果靠前的位置可能已被 SEO 投毒污染,甚至部分用戶向 AI 助手詢問下載建議后,生成的回答里也會出現指向惡意域名的鏈接,讓受害者防不勝防。
惡意下載包以 ZIP 壓縮文件的形式分發,托管在 gleeze.com 的子域名上。拆開這個壓縮包,里面確實包含真實工具的合法可執行文件,但同時夾帶著一個會自動加載的惡意 DLL。用戶一旦雙擊啟動看似正常的軟件,惡意 DLL 便立刻行動,調用 msiexec.exe 偷偷安裝一個偽造成 vcredist_x64.dll 的 ScreenConnect 遠程訪問組件,瞬間把計算機的控制權拱手交給攻擊者。
獲得遠程會話后,攻擊者的手法更加隱秘。他們會投放一個名為 SimpleRunPE.exe 的安裝程序,運行后把自己復制成 RuntimeHost.exe,藏進資源管理器中默認不顯眼的角落,隨即在多個 Windows 自啟動位置同時建立 6 套持久化機制,確保惡意代碼每次開機都能復活。部分案例中,該程序還會通過惡意 PowerShell 腳本落地,將自身保存為 vlc.exe,冒充 VideoLAN 播放器的可執行文件,以此降低用戶的防范心理。
為了進一步掩蓋行蹤,這個樣本采用了進程鏤空技術,把惡意代碼塞進微軟數字簽名的 .NET 工具里運行,比如 InstallUtil.exe。同時,它會調用 PowerShell 將自身路徑和進程加入微軟 Defender 排除列表,等于在自己身上披了一層“免檢”外衣。更狡猾的是,惡意程序會主動檢查是否運行在虛擬機環境中,并掃描 40 余種安全分析工具的進程名,一旦發現獵殺環境就立即退出,毫不戀戰。
所有隱匿步驟完成后,攻擊鏈最終下載并執行 3 種專門針對 GPU 挖礦的模塊之一,分別是 gminer、lolMiner 和 SRBMiner-MULTI。此時,受害者高性能顯卡的真正任務已經變成了為攻擊者挖掘加密貨幣,而電腦表面的運行狀態卻看不出任何異常。
IT之家提醒廣大用戶,下載工具軟件時務必通過官方網站或可信任渠道,對搜索排名靠前的鏈接多加甄別,警惕任何夾雜 DLL 文件的壓縮包,并及時更新安全軟件的特征庫,以免在不知不覺中成為攻擊者的免費算力。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
