Những ngày vừa qua, một một số loại mã độc new xuất hiện được xác định dùng để đào chi phí ảo, một số loại mã độc này một Lúc được chạy vẫn chiếm dụng tài ngulặng CPU làm cho máy tính trsinh sống bắt buộc đủng đỉnh và gặp mặt chứng trạng đơ Lúc triển khai những tác vụ khác. điều đặc biệt, mã độc được vạc tán qua Facebook Messenger bằng cách âm thầm setup một extension vào trình xem xét Google Chrome (nếu như được cài đặt bên trên máy) để auto gửi mẫu nhân phiên bản của chính nó cho những anh em của người tiêu dùng facebook. File đi cùng mang tên dạng video_.mp4 để tạo ra sự tò mò và hiếu kỳ cho những người thừa nhận. Một khi bạn dấn mở tệp tin thực thi này, máy tính xách tay của mình liên tục trnghỉ ngơi thành công xuất sắc nắm đào tiền ảo cho tin tặc mặt khác tiếp tục phạt tán theo con đường trên.
Bạn đang xem: Xmrig cpu miner là gì
Vậy mã độc này đang tiến hành đầy đủ chuyển động ví dụ làm sao, ngoài câu hỏi vươn lên là máy tính xách tay nạn nhân thành công xuất sắc gắng đào tiền ảo, nó có đem cắp tài liệu, âm thầm đo lường chuyển động người tiêu dùng hay tiến hành bất cứ hành vi như thế nào khác ảnh hưởng cho người tiêu dùng không? grumpygourmetusa.com sẽ tiến hành phân tích sâu hơn để câu trả lời những thắc mắc này.
Phân tíchDịch ngược mã nguồn
trước hết, Cửa Hàng chúng tôi cần sử dụng Resource Hacker để xác minh ngôn ngữ lập trình sẵn được thực hiện, kết quả là AutoIt.
Tiếp theo, Exe2Aut sẽ giúp đỡ bọn họ đã có được mã mối cung cấp hoàn chỉnh
Toàn cỗ mã nguồn bao gồm hơn 3000 mẫu lệnh, tuy nhiên chỉ có tầm khoảng rộng 150 dòng lệnh do hacker viết, phần còn lại là những hàm viết sẵn của tlỗi viện.
Phân tích file thực thi
Dễ dàng nhận thấy ở đây, các string đã biết thành hacker mã hoá với được giải thuật do hàm ukgkoi()
Đây là một hàm mã hoá khá đơn giản (thực hiện hệ mã một bảng cố gắng - từng kí từ bỏ trong string được mã hoá thành một kí trường đoản cú khác tương ứng), để giải thuật một lượt các string này, Cửa Hàng chúng tôi viết một script giải mã dựa trên hàm bên trên với sửa chữa thay thế string sẽ giải thuật vào địa điểm tương xứng.
Sử dụng tệp tin mới chiếm được chứa các string sẽ giải mã thuận tiện hơn đến câu hỏi đọc hiểu code.
Sau lúc so với, Shop chúng tôi sẽ tò mò được toàn thể hoạt động vui chơi của mã độc này lúc được thực thi, mẫu vẽ sau đây biểu lộ chi tiết những hành vi của mã độc:
Trước hết, mã độc gửi một request lên hệ thống của hacker hẳn nhiên một trong những ban bố trong header. Các biết tin này sẽ không bao gồm đọc tin cá nhân người dùng mà lại chỉ có công bố về tiến trình đang hoạt động, tiến trình đã bay ví như request không thành công. Ở trên đây, chúng tôi sẽ sửa lại các tên biến đổi cùng hàm theo mục đích sử dụng để dễ đọc đọc.
Tạo tlỗi mục , sở hữu những file 7za.exe, files.7z vào thư mục vừa chế tác với cần sử dụng 7za.exe nhằm bung file files.7z thành 5 tệp tin vào mục này: background.js, jquery.min.js, manifest.json (các tệp tin extension), config.json, worker.exe (tệp tin config với file triển khai đào chi phí ảo). Sau đó, mã độc từ copy bao gồm nó vào tlỗi mục vừa tạo thành cùng với tên cherry.exe.
files.7z là một trong những tệp ZIP đựợc đặt mật khẩu là 6H5d75Z8QwgEeQyU
Tìm và giới hạn quá trình chrome.exe.
Ghi key khởi rượu cồn cherry.exe vào tlỗi mục autorun của Registry HKCUSoftwareMicrosoftWindowsCurrentVersionRun (cất những liên kết đến file được Windows tự động hóa chạy Khi khởi động) dưới tên Google Update để đánh lừa người tiêu dùng.
điện thoại tư vấn lệnh chạy tiến trình chrome.exe kèm tuỳ lựa chọn --load-extension trên băng thông đến tlỗi mục đựng những file extension: manifest.json chứa những lên tiếng về extension, bao hàm knhì báo những tệp tin script: background.js, jquery.min.js, cùng tên của extension trường hòa hợp này là “Google Odevan”, (có thể đổi khác bởi vì những lần chạy, mã độc cài về một tệp tin files.7z mới)
Để extension được tự động hóa load vào Chrome trong các lần tiếp sau người tiêu dùng msinh hoạt trình chăm sóc, mã độc vẫn kiếm tìm tìm shortcut của Chrome trong một vài ba thỏng mục rất có thể lưu cùng tạo shortcut triển khai lệnh nghỉ ngơi bên trên (chạy chrome.exe kèm extension) ghi đè lên shortcut tìm thấy.
Xem thêm: Phong Thủy Cửa Phòng Ngủ: Kích Thước, Hướng Cửa Phòng Ngủ Theo Tuổi
Cuối cùng, nó bình chọn sự trường thọ của các file worker.exe cộ, config.json với triển khai worker.exe. Sau lúc kiểm tra hash, hoàn toàn có thể hiểu rằng worker.exe cộ đó là chính sách đào tiền ảo Monero mang tên XMRig. File config.json chứa báo cáo thông tin tài khoản của hacker mà số chi phí đào được sẽ tiến hành gửi vào.
Monero là nhiều loại tiền ảo lộ diện từ thời điểm năm 2014, mang đến hiện nay đã có không ít trường hợp hacker bí mật thực hiện lý lẽ XMRig nhằm đào tiền ảo bên trên máy tính người tiêu dùng.Tuy nhiên, lần này hacker trải qua Facebook Messenger để nhắn tin nhắn chứa mã độc mang đến list anh em, bên cạnh đó đánh vào trung ương lí hiếu kỳ của người dùng, làm cho mã độc phân phát tán rộng vào thời gian ngắn.
Đến đây ta đang hiểu rằng các buổi giao lưu của mã độc sau thời điểm triển khai. Tuy nhiên, extension được cài vào trình chú tâm Chrome đang làm cho những gì? Các tác dụng đối chiếu dưới đây cho biết những hoạt động nguy khốn nhằm đánh tráo thông tin tài khoản của người tiêu dùng.
Phân tích Chrome extension
Extension ô nhiễm và độc hại ko thẳng tiến hành hành vi ăn cắp thông tin tài khoản mà cài đặt về mã độc từ bỏ hệ thống của hacker với tiến hành.
Cụ thể, vào tệp tin background.js, script gửi request mang lại băng thông http://plugin.jukig.mokuz.bid/config
Kết quả trả về nhỏng sau:
Tại ngôi trường “url” là http://plugin.jukig.mokuz.bid/bghtnjaf, phía trên chính là băng thông cho đoạn script được mua về và tiến hành (có thể sử dụng chế độ Postman để request và coi kết quả):
Tiếp tục đối chiếu đoạn script được cài đặt về vẫn làm cái gi.
Việc trước tiên là auto đóng tab khi truy vấn băng thông chrome://extensions (msinh sống danh sách các extension của Chrome) nhằm người dùng cần yếu vào chỗ này xoá extension ô nhiễm và độc hại (rất có thể xoá bằng cách nhấp chuột đề xuất vào hình tượng extension là ibé setting bên trên tkhô cứng biện pháp với lựa chọn Xoá ngoài Chrome…)
Nguy hiểm hơn, script này có chức năng ăn cắp thông tin tài khoản người dùng Khi đăng nhập và trình lên server:
Hacker còn khôn khéo xoá cực hiếm thẻ meta Content-Security-Policy trong rất nhiều response nhận thấy (thẻ này được cho phép hạn chế nguy cơ tấn công XSS bằng cách chỉ được cho phép tài nguyên ổn được thiết lập từ các nguồn xác định) nhằm script không xẩy ra vô hiệu hoá Lúc trang web thực hiện kỹ thuật này.
Đoạn script bắt đầu được mua về thực hiện xoá cookie (đặt ngày hết hạn vào thời điểm năm 1970) nhằm mục đích buộc người tiêu dùng cần đăng nhập lại Facebook.
lúc người dùng singin lại, đoạn mã gửi email, mật khẩu đăng nhập lên server sẽ được tiến hành, người dùng đã trở nên đánh tráo tài khoản cơ mà ko xuất xắc biết. khi đã gồm lên tiếng đăng nhập Facebook của người tiêu dùng, hacker dễ ợt liên tục phân phát tán mã độc qua Messenger.
Kết luậndo vậy, không tính vấn đề vươn lên là máy tính nàn nhân trở thành công nuốm đào chi phí ảo, mã độc này còn đánh cắp thông tin tài khoản người dùng Facebook với rất có thể cả các trang web không giống trường hợp người dùng đăng nhập.
Do kia, khi người tiêu dùng sẽ vô tình chạy tệp tin mã độc này, ngoài câu hỏi loại bỏ bọn chúng bằng phương pháp sử dung những Anti Virus (hiện nay vẫn có nhiều AV cập nhật chủng loại dìm diện) còn phải thay đổi password Facebook cũng tương tự các trang web vẫn triển khai singin nhằm đảm bảo an toàn cho tài khoản của chính mình.
Sample mã độc cùng những script so với được cung cấp khá đầy đủ trên đây:https://github.com/grumpygourmetusa.com/monero-mining-malware
+để+tự+động+gửi+mẫu+nhân+bản+của+chính+nó+cho+các+bạn+bè+của+người+dùng+facebook){kind=link}