加密货币挖掘恶意软件使用NSA漏洞感染了超过50万台PC

几家网络安全公司报告称，新的加密货币挖掘病毒正在使用EternalBlue—；黑客组织Shadow Brokers泄露了同样的NSA漏洞，并对破坏性广泛的勒索软件威胁WannaCry负责。

Proofpoint的研究人员发现了一个名为“Smominru”的大规模全球僵尸网络，即Ismo，该僵尸网络正在使用EternalBlue SMB漏洞（CVE-2017-0144）感染Windows计算机，为其主机秘密挖掘价值数百万美元的Monero加密货币。

研究人员称，Smominru僵尸网络至少从2017年5月开始活跃，已经感染了52.6万台Windows电脑，其中大多数被认为是运行未修补版本Windows的服务器。

研究人员说：“根据与该操作的Monero支付地址相关联的哈希能力，该僵尸网络的大小似乎是Adylkuzz的两倍。”。

僵尸网络运营商已经通过窃取数百万个系统的计算资源，以每天大约24个Monero（8500美元）的速度开采了大约8900个Monero，价值高达360万美元。
研究人员说，在俄罗斯、印度和台湾观察到的Smominru感染人数最高。

Smominru僵尸网络的指挥和控制基础设施托管在DDoS保护服务SharkTech上，该服务已收到滥用通知，但据报道该公司忽略了滥用通知。

根据Proof Point研究人员的说法，网络犯罪分子正在使用至少25台计算机扫描互联网，以查找易受攻击的Windows计算机，并使用泄露的NSA RDP协议漏洞EsteAudit（CVE-2017-0176）进行感染。

研究人员得出结论：“随着比特币在专用采矿场之外的开采变得资源密集，人们对Monero的兴趣急剧增加。虽然Monero无法在台式计算机上有效开采，但像本文所述的分布式僵尸网络对其运营商来说可能是非常有利可图的。”。

“这个僵尸网络的运营商是持久的，利用所有可用的漏洞来扩展他们的僵尸网络，并找到了多种方法来在天坑作业后恢复。鉴于僵尸网络运营商可获得的巨大利润以及僵尸网络及其基础设施的恢复力，我们预计这些活动将继续下去，以及他们的潜力。”al对受感染节点的影响。"

另一家安全公司CrowdStrike最近发表了一篇博客文章，报道了另一个广泛传播的加密货币无文件恶意软件，名为WannaMine，它利用永恒蓝漏洞感染计算机来开采Monero加密货币。

由于它不会将任何应用程序下载到受感染的计算机上，病毒程序很难检测到WannaMine感染。CrowdStrike的研究人员观察到，该恶意软件已导致“一些公司无法一次运行数天或数周”

除了感染系统外，网络犯罪分子还广泛采用加密劫持攻击，其中基于浏览器的JavaScript矿工利用网站访问者的CPU能力挖掘加密货币进行货币化。

由于最近观察到的加密货币挖掘恶意软件攻击被发现利用了微软去年已经修补过的EternalBlue，因此建议用户保持系统和软件的更新，以避免成为此类威胁的受害者。