Darktrace警告新的挖礦惡意程式活動能繞過Windows Defender，透過社交工程發動cryptojacking攻擊

網路安全公司Darktrace已發現一項新的加密劫持（cryptojacking）活動，該活動旨在繞過Windows Defender並部署加密貨幣挖礦軟體。

根據Darktrace研究人員Keanna Grelicha和Tara Gould在與crypto.news分享的報告中解釋，這項首次於七月底發現的加密劫持活動，涉及多階段感染鏈，能悄悄劫持電腦的處理能力來挖掘加密貨幣。

研究人員指出，該活動專門針對基於Windows的系統，通過利用PowerShell（Microsoft內建的命令列介面與腳本語言），讓惡意行為者能夠執行惡意腳本並獲得主機系統的高權限存取。

這些惡意腳本被設計為直接在系統記憶體（RAM）中運行，因此，傳統的防毒工具通常依賴於掃描系統硬碟上的檔案，無法偵測到這類惡意程序。

隨後，攻擊者會利用AutoIt程式語言（這是一種IT專業人員常用於自動化任務的Windows工具），將惡意載入器注入到合法的Windows程序中，然後下載並執行加密貨幣挖礦程式，而不會在系統上留下明顯痕跡。

作為額外的防禦措施，該載入器被設計為執行一系列環境檢查，例如掃描沙盒環境的跡象並檢查主機上已安裝的防毒產品。

只有當Windows Defender是唯一啟用的防護時，執行才會繼續。此外，如果受感染的用戶帳戶缺乏管理員權限，該程式會嘗試繞過用戶帳戶控制（User Account Control），以獲取更高權限。

當這些條件被滿足時，該程式會下載並執行NBMiner，這是一款知名的加密貨幣挖礦工具，能利用電腦的圖形處理器（GPU）來挖掘如Ravencoin（RVN）和Monero（XMR）等加密貨幣。

在本次事件中，Darktrace利用其自主回應系統（Autonomous Response system）成功遏制了攻擊，通過“阻止該設備發出外部連線並封鎖特定可疑端點的連線”。

Darktrace研究人員寫道：“隨著加密貨幣持續受歡迎，正如全球加密貨幣市值持續高企（截至撰寫時接近4兆美元）所見，威脅行為者將繼續將加密挖礦視為有利可圖的行為。”

透過社交工程的加密劫持活動

早在七月，Darktrace就曾發現另一項活動，惡意行為者利用複雜的社交工程手法，例如冒充真實公司，誘騙用戶下載經過修改的軟體，進而部署竊取加密貨幣的惡意軟體。

與前述的加密劫持方案不同，這種方式同時針對Windows和macOS系統，且由毫無察覺的受害者自行執行，因為他們誤以為自己正在與公司內部人員互動。