吃鸡“外挂”藏木马一天20万电脑中毒 警方破获挖矿木马黑产案
7月25日,比特币价格突破8500美元大关,其价格在7月以来已经上涨超40%。虚拟货币繁荣背后,黑色数字产业链却已经悄然将方向转向“挖矿”(利用电脑硬件计算出虚拟货币的位置并获取该货币的过程)领域。
7月初,山东省青州警方破获了一起制造木马病毒感染普通电脑,并利这些电脑闲置的CPU资源“挖矿”的案件。涉案的大连某高新技术企业控制了包含389万台电脑的“僵尸网络”(指被木马感染,可由远程控制的电脑网络),涉案案值超1500万元。
新京报记者采访了相关办案民警、电脑安全专家等,揭露黑色数字产业链发展的上下游,以及黑产如何围绕互联网流量进行变现。
吃鸡“外挂”暗藏“挖矿”木马
“我们是按‘非法控制他人计算机’罪名立案的。”山东省青州市公安局的李警官介绍,该案犯罪嫌疑人杨某,仿冒“爱奇艺”编写“酷艺VIP影视”,还提供吃鸡游戏“外挂”程序(游戏作弊软件)供网民免费使用,但杨某在程序中暗置木马程序“挖矿”,专门挖HSR虚拟货币。至案发,杨某已挖取了8551.9枚HSR币(最高252元/枚,目前42元/枚)。
该案中,杨某将带有木马病毒的软件大规模扩散,是由于其“天下网吧论坛”版主的身份,以及大连晟平网络科技有限公司(下称晟平网络)的推广。晟平网络表面业务是广告营销、软件推广,背地里却在其增值客户端和推广的软件中植入“tlMiner”挖矿木马。经过该企业及其3500个代理商的推广,挖矿木马感染了超100万台电脑。
据李警官介绍,晟平网络共控制了389万台电脑的“僵尸网络”,经济收益超1500万。其中,利用高性能计算机挖取DGB币(极特币)、DCR币(德赛币)、SC(云产币)币2600余万枚;其他200余万台进行广告弹窗、应用下载业务。而单独售卖“外挂”,单月单人仅能获益不到百元。
电脑为别人“挖矿”,用户却不知情
据警方信息,该案的线索来自于网络安全大数据监控。2017年年底,腾讯电脑管家(PC端)及安全大脑(云端)发现“tlMiner”木马在一天之内感染超20万台电脑,并且具有暗中挖矿、以正常应用程序带木马等行为。警方经过近半年时间的侦破,上述案件告破。
腾讯电脑管家高级安全专家李铁军介绍,相较过去的木马程序,挖矿木马不会改动用户首页、隐藏文件,甚至具有选择性占用用户内存的特点,不易被感染者发现;此类病毒直接挖矿改变了数字黑产的变现方式,无需再与下游企业结算,可直接卖币获利。
虽然目前该木马感染用户计算机后,只占用闲置CPU资源挖矿,但与其他木马类似,服务器可对被感染计算机做任何事情,比如调用摄像头、查看重要文件等。同时,挖矿对电脑硬件配置要求比较高,主机经常长期高负荷运转,显卡、主板、内存等硬件会提前报废,对电脑的损害大。
此外,此类挖矿木马除了植入在游戏外挂中,还会植入在号称可以看视频网站付费内容的“仿冒”播放器中。以上软件在运行时,都会提醒用户“暂时关闭安全软件、防火墙等”,让用户电脑处于无防护状态。
“挖矿”木马成黑产更直接变现手段
“现在,市面上的木马病毒一般只做两种事情,一种是挖矿,一种是勒索”,李铁军告诉新京报记者。去年大面积爆发的勒索病毒就是木马病毒,只是其在入侵用户计算机后,通过检测用户信息,了解用户身份,进而对高净值人群进行勒索。今年以来,勒索病毒大面积爆发减少,但精准性增强,针对政府、医院及企业高净值人群的案件增多。最近的新趋势是,以木马控制“僵尸网络”给直播、短视频网红点赞、刷评论、弹幕等,但并非主流趋势。
业内专家介绍,以前木马的制造者,会通过控制“僵尸网络”打Ddos攻击(分布式拒绝服务攻击,可短时间致使某网站瘫痪)、运行弹窗广告,以及暗中下载应用软件等,目前这些行为都在减少。这反映出木马黑产背后的产业链正在变短。
从变现角度讲,原来木马黑产需要通过各种手段入侵电脑,控制“僵尸网络”,然后转让给其他控制者,打Ddos攻击获利;或者给广告主做弹窗广告,给应用程序做非法下载,再由下游公司进行结算,这些都是间接变现。而挖矿木马的出现,让黑产上游可以直接将挖到的虚拟币存入钱包,直接交易变现。
“木马行业的黑产都是围绕流量变现展开的,互联网产业往哪个方向走,黑色产业就往哪个方向走,基本上是一一对应的关系”,李铁军告诉新京报记者,早期是广告,因为早期互联网软件都是利用广告弹窗的方式来变现,黑产就控制别人的机器来弹广告。后来软件分发成为一个趋势,黑产就在用户不知情的情况下装很多软件;直到现在的挖矿,改变了整个变现形式,挣钱特别直接。“锁定主页、弹窗广告、下载软件等行为变少了,因为都在挖矿。”(记者 白金蕾 实习生 赵炜)