情境示意圖,Photo by Sean Do on Unsplash

遊戲玩家注意,安全研究人員發現一隻挖礦軟體藉由多款貌似免費版的PC遊戲軟體散布,以便利用用戶電腦資源挖加密貨幣。

起因是Avast發現去年有用戶在Reddit反映,電腦上的Avast防毒軟體資料夾被清空,促使這家廠商調查。結果發現是使用者透過Torrent網站下載的免費版PC遊戲軟體肇禍;這些PC遊戲軟體內藏惡意軟體,研究人員將這隻惡意程式稱作Crackonosh,因為他們判斷作者可能來自捷克。它主要目的是利用用戶電腦資源挖礦,而且具備關閉防毒軟體等反偵測能力。

Crackonosh經由Torrent網站、論壇或非官方軟體平臺網站散布,研究人員找到至少有11款遊戲軟體被注入安裝器,包括《NBA 2K19》、《侏羅紀世界:進化Jurassic World Evolution》、《俠盜獵車手VGrand Theft Auto V》、《極地戰嚎Far Cry 5》、《模擬市民 The Sims 4》、《異塵餘生Fallout 4》。

惡意程式作者在盜版軟體中植入Crackonosh的安裝器,等用戶下載到電腦安裝後,即展開釋出挖礦軟體的過程。這個安裝器迫使電腦多次重開機,使電腦進入安全模式。由於在安全模式下防毒軟體無法執行,它會藉此關閉刪除防毒軟體、同時關閉Windows Security。另外它也會刪除serviceinstaller.msi和maintenance.vbs以掩飾活動紀錄。Cracknosh最終目標是挖礦,最終安裝的專門挖門羅幣(Monero,XMR)的軟體XMRing。

分析Crackonosh的核心執行檔,研究人員研判它從2018年1月31第一代開始日,到2020年11月23日,已演化出至少30個版本。

研究人員分析Cracknosh有能力關閉的防毒軟體,還包括Adaware、Bitdefender、Escan、F-secure、Kaspersky、McAfee、Norton、Panda。

研究人員從去年12月7日起開始追溯,當時Crackonosh感染了1.5萬臺裝置,直到5月每天都還平均感染數千臺裝置。主要受害者集中在北美(包括阿拉斯加)、巴西、印度、菲律賓及德國。研究人員告訴CNBC,巴西、印度及菲律賓是災情最重的地區。將近6個月中,共有22萬臺Windows PC感染了Crackonosh。根據研究人員找到的門羅幣電子錢包計算,駭客已挖了9000個門羅幣,價值約200萬美元。

研究人員呼籲用戶不要貪小便宜,從不知名或陌生的網站下載可以不需付費的軟體,以便受害。


熱門新聞

Advertisement