中国电信江苏分公司旗下为高校师生宽带连接服务的天翼校园客户端目前被发现暗藏挖矿代码来挖掘门罗币。该客户端由于具有正规公司的数字签名证书因此不会被系统拦截,而众多高校的师生们则成为攻击者的矿工。
安装后释放后门连接远程服务器:
该客户端在安装后不会影响正常登录和连接电信网络,但同时亦会在安装中释放后门程序来连接远程服务器。值得注意的是当师生电脑开始运行后门程序连接远程服务器后,攻击者会按需通过服务器调整需执行的任务。
因此在有需要的情况下攻击者甚至可以直接向师生电脑安装其他病毒,甚至开启摄像头监听麦克风窃取隐私。所以此类后门程序对众多用户已经造成极大的安全威胁,安全起见最好先卸载客户端后再全盘杀毒确保安全。
构造隐藏窗口刷流量:
按金山毒霸实验室的分析来看,释放的后门程序会继续下载其他恶意的软件用于构造隐藏IE窗口进行刷流量。由于本身IE窗口已经被隐藏因此在进行刷流量操作时用户不会发觉, 除非通过网速监测发现IE流量出现异常。
所谓刷流量即帮助别的网站提高虚假流量或者点击广告进行获利,此前亦发生过多次病毒构造隐藏窗口刷量。
释放挖矿模块用于挖掘门罗币:
对于背后的黑产团队来说将利益最大化自然是梦寐以求的,而刷量本身对于单价较低因此收入相对也很少些。但是刷量并不会对电脑的硬件资源造成太大的占用,于是剩余资源则会黑产团队用来释放挖矿模块进行挖矿。
这个挖矿模块主要用来挖掘具备匿名性极高的 XMR 门罗币, 该虚拟货币的挖掘难度相对比特币来说要更低。挖矿相对刷量来说诸如CPU等硬件资源的占用率更高,如果用户玩游戏或使用大型应用程序可能会发现卡顿。
后门程序优化操作行为将利益最大化:
选择刷量与挖矿搭配相信背后的黑产团队也是有意而为之的,因为这两种黑产形式搭配相对来说利益要更高。因为刷量主要是利用IE浏览器开启网页并自动点击广告等等,其对硬件资源占用相对较低但会占用更多带宽。
而挖矿则是需要调用大量的线程占用CPU等硬件资源,但同时其哈希计算主要发生在本地基本不会消耗带宽。因此将刷量与挖矿搭配起来可以极大的提高黑产的收入,对于用户的设备而言则是全部资源都会被消耗殆尽。
电信出品的农历日历同样含有挖矿代码:
金山毒霸实验室在寻找同源后门的过程发现,具有中国电信股份有限公司签名的中国日历同样含有挖矿代码。名为中国日历的应用程序含有数字签名时间是2017年4月21日,因此这类程序或许被植入挖矿代码已经很久。
经过分析可以看出其挖矿代码与天翼校园客户端的挖矿代码完全相同,因此可以确定背后是相同的黑产团队。
尚不清楚为何电信官方软件会含有后门:
如果你此前关注过 CCleaner 的话应该知道该软件曾被植入后门,同样植入后门的版本含有开发商数字签名。这意味着在开发者打包应用程序并且进行签名前已经含有恶意软件,因此可以确定不是下载服务器被篡改了。
因此要么是内部开发者(例如百度好123外包的开发植入后门)植入的, 要么内部服务器早就已经被入侵了。最终含有恶意模块的软件包具有官方数字签名可以躲避安全软件的查杀,对用户来说更不容易发掘异常问题。