7月初,山东省青州警方破获了一起制造木马病毒感染普通电脑,并利这些电脑闲置的CPU资源“挖矿”的案件。涉案的大连某高新技术企业控制了包含389万台电脑的“僵尸网络”,涉案案值超1500万元。
新京报记者采访了相关办案民警、电脑安全专家等,揭露了黑色数字产业链发展的上下游,以及黑产如何围绕互联网流量进行变现。
吃鸡“外挂”暗藏“挖矿”木马 山东省青州市公安局的李警官介绍,在这起案件中,犯罪嫌疑人杨某仿冒“爱奇艺”编写了“酷艺VIP影视”程序,并提供吃鸡游戏的“外挂”供网民免费使用。然而,该程序暗藏木马程序“挖矿”,专门挖HSR虚拟货币。杨某在案发之前已经挖取了8551.9枚HSR币,总价值高达1500万元。
该案中,杨某利用其身份为“天下网吧论坛”版主和大连晟平网络科技有限公司的推广,将带有木马病毒的软件大规模传播。晟平网络的表面业务是广告营销和软件推广,但暗中植入了“tlMiner”挖矿木马程序。通过该企业及其代理商的推广,超过100万台电脑感染了挖矿木马。
电脑为别人“挖矿”,用户却不知情 警方通过网络安全大数据监控发现了该案的线索。腾讯电脑管家及安全大脑在2017年年底发现“tlMiner”木马在一天之内感染了超过20万台电脑,并具有暗中挖矿和以正常应用程序带木马等行为。警方经过近半年时间的侦破,最终告破了这起案件。
腾讯电脑管家的高级安全专家李铁军介绍说,与过去的木马程序相比,挖矿木马不会改动用户首页或隐藏文件,甚至具有选择性占用用户内存的特点,不易被感染者发现。这种病毒直接挖矿改变了数字黑产的变现方式,无需再与下游企业结算,可以直接卖币获利。
虽然目前该木马感染用户计算机后只占用闲置CPU资源来挖矿,但与其他木马类似,服务器可以对被感染计算机进行任何操作,比如调用摄像头、查看重要文件等。同时,挖矿对电脑硬件配置要求较高,主机经常长期高负荷运转,显卡、主板、内存等硬件可能会提前报废,对电脑造成损害。
此外,这类挖矿木马除了植入在游戏外挂中,还会植入在号称可以观看付费内容的“仿冒”播放器中。这些软件在运行时会提醒用户“暂时关闭安全软件、防火墙等”,让用户的电脑处于无防护状态。
“挖矿”木马成为黑产更直接的变现手段 据腾讯电脑管家的李铁军介绍,现在市面上的木马病毒一般只做两种事情,一种是挖矿,另一种是勒索。去年爆发的勒索病毒就是一种木马病毒,入侵用户计算机后,通过检测用户信息了解用户身份,然后对高净值人群进行勒索。今年以来,勒索病毒爆发的范围减少,但精准性增强,更多针对政府、医院和企业的高净值人群。
业内专家介绍说,过去的木马制造者会通过控制“僵尸网络”进行DDoS攻击、弹出广告弹窗以及暗中下载应用软件等手段来变现。但目前这些行为都在减少,这反映出木马黑产背后的产业链在变短。
从变现的角度来看,过去的木马黑产需要通过各种手段入侵电脑、控制“僵尸网络”,然后转让给其他控制者,通过DDoS攻击获利,或者给广告主做弹窗广告,给应用程序做非法下载,最后由下游公司进行结算。而出现了挖矿木马后,黑产上游可以直接将挖到的虚拟币存入钱包,直接交易变现。
李铁军告诉新京报记者:“木马行业的黑产都是围绕流量变现展开的,互联网产业往哪个方向走,黑色产业就往哪个方向走,基本上是一一对应的关系。”早期的黑产主要是控制别人的机器弹广告,因为早期的互联网软件主要通过广告弹窗来变现。后来软件分发成为趋势,黑产在用户不知情的情况下装了很多软件。如今,挖矿改变了整个黑产的变现形式,变现更加直接。“锁定主页、弹窗广告、下载软件等行为变少了,因为都在挖矿。”