Minas 是一个多阶段的 Cryptominer 恶意软件
Minas 是一种专为加密货币挖掘而设计的恶意软件,它是一种利用 XMRIG 应用程序的阴险威胁,该应用程序最初用于合法的 Monero 挖掘。这种特殊类型的恶意软件会对受感染的机器施加巨大压力,从而危及系统及其硬件的整体健康状况。
Minas 采用各种复杂的技术来逃避检测并确保其寿命。它的主要目标是从事加密货币的挖掘,这一过程涉及利用计算机能力解决复杂的数学问题以生成数字货币。
挖矿行为需要强大的硬件,这促使网络犯罪分子经常利用毫无戒心的受害者的设备或为此目的利用整个僵尸网络,而不是投资于他们自己的设备。
Minas 感染链,一步一步
感染链总结如下:
- 通过任务计划程序,执行 PowerShell 脚本,从远程服务器获取 lgntoerr.gif 文件。
- 解密后,lgntoerr.gif 转换为 .NET DLL,然后加载。
- .NET DLL 提取并解密三个文件:两个 DLL 和一个加密的负载,将它们放在 ProgramData 目录中。
- .NET DLL 创建一个任务,以在系统启动期间使用任务计划程序自动运行合法的 ilasm.exe 组件。
- 任务计划程序从 ProgramData 目录启动 ilasm.exe。
- ilasm.exe 启动 fusion.dll,一个恶意 DLL 劫持程序,也驻留在同一目录中。
- fusion.dll 加载第二个解密的 DLL。
- 第二个 DLL 生成一个挂起的 dllhost.exe 进程。
- 加密二进制文件中的有效负载由第二个 DLL 解密。
- 解密后的有效载荷作为 DLL 注入到 dllhost.exe 进程中。
- dllhost.exe 进程的进程 ID (PID) 保存在 ProgramData 目录下的一个文件中。
- 控制被传递到 dllhost.exe 进程中的解密有效负载。
- 有效负载 DLL 在计算机内存中提取并执行矿工 DLL。
- 本质上,这些步骤概述了感染链的进展,每个阶段都有助于恶意矿工组件的执行。
为什么 Cryptominers 对整个系统构成威胁?
通过利用 CPU 和 GPU 等系统资源,加密矿工消耗大量计算能力来生成数字货币。这种未经授权的过度使用可能会独占高达 100% 的设备资源,导致频繁的系统死机、崩溃和其他严重问题,使受影响的设备几乎无法使用。
而且,系统的过度应变很可能导致过热。当与通风不良、室温高和类似条件等其他因素相结合时,这种过热会对硬件造成不可逆转的损坏,实质上是“烧毁”组件。
总而言之,设备上存在 Minas 或类似恶意软件可能会造成可怕的后果。这些包括系统性能下降、系统故障、数据永久丢失、硬件退化和大量财务损失。