惡意攻擊行動Prowli散佈採礦程式、進行流量詐騙，全球已有4萬台裝置淪陷

資安研究團隊Guardicore Labs本周揭露了一個採礦惡意行動Prowli，相關攻擊已殃及全球9,000個企業的4萬個裝置，除了於被駭裝置上植入採礦程式之外，也會把合法網站的流量導至惡意網站，不管是Drupal網站、WordPress網站、DSL數據機、採用SSH的伺服器或IoT裝置皆受害。

該實驗室指出，Prowli攻擊行動鎖定多元化的平台，從代管熱門網站的CMS服務、執行HP Data Protector的備份伺服器、採用開放SSH傳輸埠的伺服器、到DSL數據機與IoT裝置都受到駭客的襲擊，入侵途徑包括攻擊程式、暴力破解密碼，以及脆弱的配置。其中，有67%的受害裝置為採用脆弱SSH憑證的伺服器。

此外，駭客並沒有設定任何的產業，不管是電腦服務業、大學、政府機關、媒體、金融服務或運輸業全都受害，Guardicore Labs因而推測駭客的企圖不在於間諜行為，而是單純為了獲利。

Prowli攻擊行動有兩個獲利來源，一是於被駭裝置上植入開採門羅幣（Monero）的採礦程式，二則是進行流量詐騙，挾持使用者流量以將其導至各種惡意網站，諸如偽造的技術支援服務或是惡意的瀏覽器擴充程式等，駭客藉由出售用戶流量而獲利。

值得注意的是，Prowli有個攻擊百寶箱，可根據需求調用不同的攻擊工具，例如採用SSH的裝置可能會被暴力破解密碼而植入採礦程式，安裝K2擴充程式的Joomla! 伺服器則是被開採檔案下載漏洞，要攻陷DSL數據機則是利用網路上的配置服務，還含有多種可入侵WordPress伺服器的方法。

其它受到Prowli攻擊行動鎖定的還有Drupal伺服器、PhpMyAdmin伺服器、NFS伺服器，以及其它曝露SMB傳輸埠的伺服器。

要預防Prowli攻擊只要採取基本的防護動作即可，包括隨時採用最新版本，以及設定不容易被破解的強大密碼，Guardicore Labs還建議企業於自家網路中隔離那些亦受攻擊的系統。