欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

藏在短链接下的挖矿木马:NovelMiner

来源:本站整理 作者:佚名 时间:2018-04-02 TAG: 我要投稿

0×1 概述
使用短链接跳转到长网址是网友分享链接的常见方式,尤其是在有字数限制的情况下,冗长的网址不利于显示,短链生成无疑是最便捷的服务之一。然而,由于短链接隐藏了其指向的真实长网址,用户往往无法无法从短链得知其指向的网址类型,因而经常会因为误点击带毒短链接而电脑中毒。
腾讯安全御见威胁情报中心持续检测到,一款名为NovelMiner的挖矿木马自2017年9月开始隐藏在广告短链接中进行传播。据统计,全球约有100多个国家超过1500万用户由于误点带毒广告页面而自动下载了NovelMiner挖矿木马。

本次发现的NovelMiner挖矿木马通过挖取ETN币(以利坊币)获利,按一台普通电脑机器0.66 Khash/s算力计算,每天可以挖取到20枚ETN币(以利坊币),月收益约为130人民币。而目前发现的绝大部分挖矿木马都会选择挖取门罗币,在同等算力(0.66 Khash/s)下,每月可以获取0.074枚,月收益约为105人民币。也就是说,从短期看来,一台普通电脑每月挖取到的ETN币(以利坊币)收益要比门罗币高出25人民币。

(ETN全称Electroneum,中文称以利坊,为门罗币的分支币种。ETN在2017年9月14日通过ICO,发行总量为210亿枚,目前交易价格在0.035美元。)
0×2 详细分析
该木马最早出现在2017年8月29日,到现在历经四次版本升级:
V1.0版本:母体为自解压格式文件,内嵌VBS脚本,活跃时间为2017.8.29—2017.10.17
内嵌的a.vbs内容比较简单,启动后会下载另一个b.vbs

b.vbs负责下载并启动xmrig挖矿程序,木马常用VBS名及下载代码段:

V1.0版木马攻击流程

该版本的下载链接固定为foreground[.]me
V2.0版本:主要对下载域名做了变化,使用lnkredirect[.]com域名,活跃时间 2017.10.17—2017.10.21
藏在SFX中的vbs文件内容:

V2.0版木马攻击流程:

V2.0版木马常用VBS名及下载代码段:

V2.1版:在V2.0版本基础上还有一次小升级V2.1版本,活跃时间2017.10.23—2017.11.14,这次主要对代码做了混淆,该版本SFX文件会附带两个VBS脚本run.vbs以及conf.vbs,Conf.vbs是被混淆过的下载代码:

Run.vbs负责解密conf.vbs并执行conf代码
矿机程序常用名称 brhost.exe
矿池地址:nicehash
矿池用户名:x2x2,x3x2、X3、X2、x7x2、x7x3、X5233、X7、X4、X5
V2.1版木马攻击流程:

V3.0版:活跃时间2017.11.24—至今
此版本基于.Net编写,并对EXE文件做了混淆,解密后得到核心代码,vbs被内嵌在.net程序中,解密后可以看到释放vbs的代码:

V3.0版本攻击流程:

V3.0版部分文件版本信息:

V4.0版: 改用delphi语言编写,活跃时间2017.12.17—至今,vbs内嵌在delphi程序中:

攻击流程与版本V3.0类似,不过从这个版本开始,木马不再使用nicehash矿池而改用nanopool矿池

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载