5000台のコンピューターが採掘のための「ブラック労働者」に

テキスト |カイル

編集者 |ウェン・ダオ

暗号通貨業界の台頭は、新興市場をもたらしただけでなく、利益を追求するブラックマーケットのギャングも引き付けており、その 1 つがマイニングトロイの木馬です。

最近、Tencent SecurityのYujian Threat Intelligence Centerは、ソーシャルエンジニアリング詐欺を通じて拡散された「Tiger」マイニングトロイの木馬（LaofuMiner）を検出したという声明を発表しました。攻撃者は、リモートコントロール型トロイの木馬プログラムを「ホットニュース」や「ポルノコンテンツ」などのファイル名に偽装し、インターネット上で広く拡散します。誤ってクリックした人は誰でもすぐに感染し、コンピュータの動作が極端に遅くなり、闇市場のギャング団のマイナーと化します。

統計によると、「Tiger」トロイの木馬は 5,000 台以上のコンピュータに感染しています。発生源を辿ったところ、「Tiger」の前身は2018年に登場したトロイの木馬「Grizzly」であることが判明した。当時、「Grizzly」は10万近くのホストに感染し、モネロのマイニングで少なくとも38万元の不法収入を得ていた。

「Grizzly」や「Tiger」に加えて、KingMiner、BlueHero、および「Quick Go Miner」などのトロイの木馬マイニング プログラムもよく使用されます。セキュリティ専門家は、一部のトロイの木馬が闇市場でオープンソース化されて以来、悪事を働くコストが減り、ウイルスによる被害が増大し、誰もが「被害者」になる可能性があると明らかにした。

業界関係者は、暗号通貨業界の発展にあたり、業界構築者が共同で悪意ある行為に抵抗し、セキュリティの普及を強化し、安全要因を向上させるよう求めている。

Tencent Yujian のソース追跡クエリにより、Tiger マイニング トロイの木馬のファイル サーバー baihes.com が IP アドレス 46.4.156.44 を指していることが判明しました。この IP は 2018 年にセキュリティ専門家の注目を集めました。当時、「Grizzly」BearMiner という名のマイニング型トロイの木馬が存在し、そのドメイン名 miner.gsbean.com も上記の IP と直接関連していました。

テンセント・ユージアンは、「Grizzly」と「Tiger」は同じグループに属しており、「Tiger」が「Grizzly」マイニングトロイの木馬に取って代わり、新たな活発な傾向を示していると推測している。

2018年7月、Sangforのセキュリティ専門家（以下、「Sangfor」）が初めて「Grizzly」マイニングウイルスを発見しました。 Grizzly は Tiger と同様のカモフラージュ方法を使用しており、主流のウイルス対策ソフトウェアを回避して数か月間検出されないままでいることが可能です。

「グリズリー」の方が有害です。 Sangfor の統計によると、「Grizzly」は 10 万近くのホストに感染しています。汚染されたホストのほとんどでは異常な遅延が発生し、ホストのパフォーマンスに重大な影響を及ぼします。

サンフォー氏は、このウイルスの脅威レベルを「高リスク」、検出と除去の難しさを「困難」と分類している。当時「グリズリー」が採掘していたコインは主に匿名コインのモネロ（XMR）だったことが明らかになった。ビットコインとは異なり、モネロのマイニングは敷居が低く、始めるのが簡単です。 CPU とグラフィック カードを搭載した家庭用コンピューターを使用してマイニングを行うことができます。

さらに、すべての Monero 取引では受信者のプライバシーを保護するために隠しアドレスが使用されるため、ブラックマーケットのギャングによって採掘されたコインの所在を追跡することは困難です。

サンフォーの昨年7月の統計によると、グリズリーウイルスは当時420枚のモネロコインを採掘した。当時の通貨価格927元で計算すると、攻撃者はトロイの木馬ウイルスを使った違法マイニングで38万元以上を稼いでおり、コストは高くなかった。

闇市場では、「Big Bad Wolf」という名のリモート コントロール トロイの木馬が人気のリモート コントロール ツールです。 「Tiger」ウイルスは、このリモート コントロール ツールを通じて被害者のコンピューターにウイルスを埋め込むこともできます。

「Big Bad Wolf」の原作者は亡くなったとの噂もあるが、関連コードは闇市場で流通し、オープンソースとして共有されている。さまざまなウイルスやトロイの木馬のギャングがそれをカスタマイズおよび修正した後、多くの亜種が派生し、ブラックマーケットのギャングにとってウイルス開発コストが目に見えない形で削減されました。

近年では、「Grizzly」や「Tiger」に加え、KingMinerマイニングトロイの木馬、BlueHeroマイニングワームウイルス、「Quick Go Miner」などのトロイの木馬プログラムが一般的になってきました。 2018年末、湖南省衡陽市公安局石鼓支局は、コンピューターサイエンス専攻の卒業生がインターネットカフェのパソコンにトロイの木馬をインストールし、リモートマイニングで1億元以上の利益を上げていたウイルスマイニング事件を摘発した。

今日のソーシャル ネットワークの発達により、人々は毎日大量の情報にさらされています。注意しないと、ハッカーの「採掘労働者」になってしまうかもしれない。コンピュータが突然ひどく動かなくなったことに気付いた場合、そのコンピュータは他人のために不正な利益を生み出すのに忙しい可能性が非常に高くなります。

セキュリティ専門家は、インターネットユーザーに対し、出所が不明なファイルを勝手に開かないようにアドバイスしています。ファイルをクリックする前に、エクスプローラーのフォルダー オプションを開き、「既知のファイルの拡張子を表示する」を選択することをお勧めします。ファイルアイコンがOffice、音楽、またはビデオファイルであり、ファイル拡張子が「exe、com、pif、bat」であることがわかった場合は、すぐに危険なファイルであると判断し、すぐに削除し、ウイルス対策ソフトウェアを使用してチェックして強制終了することができます。

ブロックチェーンとデジタル通貨の台頭により、「マイニング」は徐々に繁栄しつつある新興産業となった。利益はしばしば悪を生み、マイニングトロイの木馬、ハッカーによるコイン盗難、ダークウェブ取引などの事件が後を絶ちません。 「ブラック産業」は、この新興産業の「コインの裏側」でもある。

業界関係者は、新技術や新産業が誕生した際には、業界関係者が共同でセキュリティ技術の備蓄を強化し、ハッカーやブラック産業の悪質な行為に共同で抵抗するよう呼びかけている。プロのセキュリティチームは、セキュリティ同盟を設立して、サイバーセキュリティの基礎知識を一般大衆に普及させ、新しいウイルスの宣伝と早期警告を強化し、暗号通貨を理解していない一般大衆がマイニングの「ブラック労働者」になるのを防ぐことを望むかもしれない。