Palo Alto Networks公司的 Unit 42威胁研究团队在上周三发文称,他们在过去的几个月时间里一直在追踪调查一款几乎没有被报道过的加密货币挖矿恶意软件。它被命名为“Raróg”,这个名字来源于斯拉夫神话中的火魔,常见的形象是一只火红色的猎鹰。
Unit 42表示,Raróg自2017年6月以来一直在各种地下论坛(主要是俄语论坛)上被出售,并自那时以来已被众多网络罪犯分子所使用。迄今为止,Unit 42已经检查到了大约2500个独特的样本以及161台不同的命令和控制(C&C)服务器,这些服务器主要集中在俄罗斯和德国。
针对Raróg的销售活动在过去的9个月里一直在持续,其中在2017年8月底至9月下旬最为活跃。Unit 42表示,在峰值期间,他们仅在一周的时间里就检测到了187个独特的样本。
Raróg的售价被设定为6000卢布,按现在的汇率大约为104美元。这似乎很符合加密货币挖矿恶意软件能够迅速传播的模式,因为它的售价在恶意软件商品中来说并不算高,而且它的销售团队还推出了一项试用服务,允许潜在买家通过一个界面来体验Raróg的操作。
Unit 42表示,Raróg的开发者为其配备了许多功能。例如,它能够使用多种机制在受感染设备上建立持久性,包括使用运行注册表项、计划任务和启动文件夹中的快捷链接。
当然,Raróg的核心功能还是加密货币挖掘,它能够让使用者不仅可以下载挖矿组件,而且还可以配置他们希望的任何参数。另外,它还允许使用者根据受感染设备的性能来设置挖矿流量,以避免因过高地占用CPU(或GPU)资源而引起受害者的注意。
Unit 42表示,除了加密货币挖掘之外,Raróg还采用了许多僵尸网络技术。这将允许使用者执行多种恶意操作,如下载和执行其他恶意软件、针对特定目标实施DDoS攻击以及通过特定链接进行恶意软件更新等等。
根据Unit 42所检测到的Raróg样本来看,在全球范围内至少有16.6万名受害者。尽管很分散,但大多数受害者都位于菲律宾、俄罗斯和印度尼西亚。
Unit 42指出,尽管已经检测到的Raróg样本数量众多,且都具有众多恶意功能,但这些购买Raróg并专注于挖矿的攻击者似乎并没有获取到理想中的利润。
Raróg主要被用于挖掘门罗币(Monero,XMR),但它也具备挖掘其他加密货币的能力。根据Unit 42获得的数据来看,其中赚得利润最多的攻击者被发现共挖掘到了大约0.58枚门罗币和54枚百特币(ByteCoin,BCN)。以现在的汇率来计算,大约共价值123.68美元。再扣除恶意软件本身的成本104美元之后,这些攻击者似乎是做了一笔亏本的买卖。