網路安全公司Darktrace發現了一項新的非法加密挖礦活動，旨在繞過Windows Defender並部署加密貨幣挖礦軟件。

摘要

• Darktrace 已識別出一個針對 Windows 系統的非法加密挖礦活動。
• 該活動涉及悄悄部署NBminer進行加密貨幣挖礦。

Darktrace的研究人員Keanna Grelicha和Tara Gould在一份與crypto.news共享的報告中解釋說，首次在7月底識別出的非法加密挖礦活動涉及一個多階段的感染鏈，悄悄地劫持計算機的處理能力來進行加密貨幣挖礦。

研究人員表示，該活動專門針對基於Windows的系統，通過利用PowerShell（微軟內置的命令行外殼和腳本語言），不法分子能夠運行惡意腳本並獲得對主機系統的特權訪問。

這些惡意腳本旨在直接在系統內存(RAM)上運行，因此，傳統的防病毒工具通常依賴於掃描系統硬盤上的文件，無法檢測到惡意進程。

隨後，攻擊者使用 AutoIt 編程語言，這是一種通常由 IT 專業人員用於自動化任務的 Windows 工具，向一個合法的 Windows 進程注入惡意加載程序，然後下載並執行一個加密貨幣挖礦程序，而不會在系統上留下明顯的痕跡。

作爲額外的防線，加載程序被編程執行一系列環境檢查，例如掃描沙盒環境的跡象和檢查主機上安裝的殺毒產品。

僅當Windows Defender是唯一的活動保護時，執行才會繼續。此外，如果感染的用戶帳戶沒有管理員權限，程序會嘗試繞過用戶帳戶控制以獲得提升的訪問權限。

當滿足這些條件時，該程序會下載並執行 NBMiner，這是一款著名的加密貨幣挖礦工具，利用計算機的圖形處理單元來挖掘諸如 Ravencoin (RVN) 和 Monero (XMR) 等加密貨幣。

在這種情況下，Darktrace能夠通過其自主響應系統遏制攻擊，方法是“防止設備進行外部連接，並阻止與可疑端點的特定連接。”

“隨着加密貨幣在全球越來越受歡迎，正如目前全球加密貨幣市值持續高達(接近4萬億美元所示，威脅行爲者將繼續將加密貨幣挖礦視爲一項盈利的風險投資，”Darktrace研究人員寫道。

通過社交工程的非法加密挖礦活動

在七月，Darktrace 指出了一項獨立的活動，惡意行爲者使用復雜的社會工程策略，例如冒充真實公司，來欺騙用戶下載經過修改的軟件，該軟件部署了加密貨幣盜竊惡意軟件。

與上述的非法加密挖礦方案不同，這種方法同時針對Windows和macOS系統，並且是由不知情的受害者自己執行的，他們認爲自己正在與公司內部人員互動。