网络安全公司Darktrace发现了一项新的非法加密挖矿活动，旨在绕过Windows Defender并部署加密货币挖矿软件。

摘要

• Darktrace 已识别出一个针对 Windows 系统的非法加密挖矿活动。
• 该活动涉及悄悄部署NBminer进行加密货币挖矿。

Darktrace的研究人员Keanna Grelicha和Tara Gould在一份与crypto.news共享的报告中解释说，首次在7月底识别出的非法加密挖矿活动涉及一个多阶段的感染链，悄悄地劫持计算机的处理能力来进行加密货币挖矿。

研究人员表示，该活动专门针对基于Windows的系统，通过利用PowerShell（微软内置的命令行外壳和脚本语言），不法分子能够运行恶意脚本并获得对主机系统的特权访问。

这些恶意脚本旨在直接在系统内存(RAM)上运行，因此，传统的防病毒工具通常依赖于扫描系统硬盘上的文件，无法检测到恶意进程。

随后，攻击者使用 AutoIt 编程语言，这是一种通常由 IT 专业人员用于自动化任务的 Windows 工具，向一个合法的 Windows 进程注入恶意加载程序，然后下载并执行一个加密货币挖矿程序，而不会在系统上留下明显的痕迹。

作为额外的防线，加载程序被编程执行一系列环境检查，例如扫描沙盒环境的迹象和检查主机上安装的杀毒产品。

仅当Windows Defender是唯一的活动保护时，执行才会继续。此外，如果感染的用户帐户没有管理员权限，程序会尝试绕过用户帐户控制以获得提升的访问权限。

当满足这些条件时，该程序会下载并执行 NBMiner，这是一款著名的加密货币挖矿工具，利用计算机的图形处理单元来挖掘诸如 Ravencoin (RVN) 和 Monero (XMR) 等加密货币。

在这种情况下，Darktrace能够通过其自主响应系统遏制攻击，方法是“防止设备进行外部连接，并阻止与可疑端点的特定连接。”

“随着加密货币在全球越来越受欢迎，正如目前全球加密货币市值持续高达(接近4万亿美元所示，威胁行为者将继续将加密货币挖矿视为一项盈利的风险投资，”Darktrace研究人员写道。

通过社交工程的非法加密挖矿活动

在七月，Darktrace 指出了一项独立的活动，恶意行为者使用复杂的社会工程策略，例如冒充真实公司，来欺骗用户下载经过修改的软件，该软件部署了加密货币盗窃恶意软件。

与上述的非法加密挖矿方案不同，这种方法同时针对Windows和macOS系统，并且是由不知情的受害者自己执行的，他们认为自己正在与公司内部人员互动。