吃雞“外掛”藏木馬 電腦為別人“挖礦” 一天20萬電腦中毒 警方破獲挖礦木馬黑產(chǎn)案

    7月25日，比特幣價格突破8500美元大關，其價格在7月以來已經(jīng)上漲超40%。虛擬貨幣繁榮背后，黑色數(shù)字產(chǎn)業(yè)鏈卻已經(jīng)悄然將方向轉向“挖礦”（利用電腦硬件計算出虛擬貨幣的位置并獲取該貨幣的過程）領域。

    7月初，山東省青州警方破獲了一起制造木馬病毒感染普通電腦，并利這些電腦閑置的CPU資源“挖礦”的案件。涉案的大連某高新技術企業(yè)控制了包含389萬臺電腦的“僵尸網(wǎng)絡”（指被木馬感染，可由遠程控制的電腦網(wǎng)絡），涉案案值超1500萬元。

    新京報記者采訪了相關辦案民警、電腦安全專家等，揭露黑色數(shù)字產(chǎn)業(yè)鏈發(fā)展的上下游，以及黑產(chǎn)如何圍繞互聯(lián)網(wǎng)流量進行變現(xiàn)。

    吃雞“外掛”暗藏“挖礦”木馬

    “我們是按‘非法控制他人計算機’罪名立案的。”山東省青州市公安局的李警官介紹，該案犯罪嫌疑人楊某，仿冒“愛奇藝”編寫“酷藝VIP影視”，還提供吃雞游戲“外掛”程序（游戲作弊軟件）供網(wǎng)民免費使用，但楊某在程序中暗置木馬程序“挖礦”，專門挖HSR虛擬貨幣。至案發(fā)，楊某已挖取了8551.9枚HSR幣（最高252元/枚，目前42元/枚）。

    該案中，楊某將帶有木馬病毒的軟件大規(guī)模擴散，是由于其“天下網(wǎng)吧論壇”版主的身份，以及大連晟平網(wǎng)絡科技有限公司（下稱晟平網(wǎng)絡）的推廣。晟平網(wǎng)絡表面業(yè)務是廣告營銷、軟件推廣，背地里卻在其增值客戶端和推廣的軟件中植入“tlMiner”挖礦木馬。經(jīng)過該企業(yè)及其3500個代理商的推廣，挖礦木馬感染了超100萬臺電腦。

    據(jù)李警官介紹，晟平網(wǎng)絡共控制了389萬臺電腦的“僵尸網(wǎng)絡”，經(jīng)濟收益超1500萬。其中，利用高性能計算機挖取DGB幣（極特幣）、DCR幣（德賽幣）、SC（云產(chǎn)幣）幣2600余萬枚；其他200余萬臺進行廣告彈窗、應用下載業(yè)務。而單獨售賣“外掛”，單月單人僅能獲益不到百元。

    電腦為別人“挖礦”，用戶卻不知情

    據(jù)警方信息，該案的線索來自于網(wǎng)絡安全大數(shù)據(jù)監(jiān)控。2017年年底，騰訊電腦管家（PC端）及安全大腦（云端）發(fā)現(xiàn)“tlMiner”木馬在一天之內(nèi)感染超20萬臺電腦，并且具有暗中挖礦、以正常應用程序帶木馬等行為。警方經(jīng)過近半年時間的偵破，上述案件告破。

    騰訊電腦管家高級安全專家李鐵軍介紹，相較過去的木馬程序，挖礦木馬不會改動用戶首頁、隱藏文件，甚至具有選擇性占用用戶內(nèi)存的特點，不易被感染者發(fā)現(xiàn)；此類病毒直接挖礦改變了數(shù)字黑產(chǎn)的變現(xiàn)方式，無需再與下游企業(yè)結算，可直接賣幣獲利。

    雖然目前該木馬感染用戶計算機后，只占用閑置CPU資源挖礦，但與其他木馬類似，服務器可對被感染計算機做任何事情，比如調(diào)用攝像頭、查看重要文件等。同時，挖礦對電腦硬件配置要求比較高，主機經(jīng)常長期高負荷運轉，顯卡、主板、內(nèi)存等硬件會提前報廢，對電腦的損害大。

    此外，此類挖礦木馬除了植入在游戲外掛中，還會植入在號稱可以看視頻網(wǎng)站付費內(nèi)容的“仿冒”播放器中。以上軟件在運行時，都會提醒用戶“暫時關閉安全軟件、防火墻等”，讓用戶電腦處于無防護狀態(tài)。

   “挖礦”木馬成黑產(chǎn)更直接變現(xiàn)手段

    “現(xiàn)在，市面上的木馬病毒一般只做兩種事情，一種是挖礦，一種是勒索”，李鐵軍告訴新京報記者。去年大面積爆發(fā)的勒索病毒就是木馬病毒，只是其在入侵用戶計算機后，通過檢測用戶信息，了解用戶身份，進而對高凈值人群進行勒索。今年以來，勒索病毒大面積爆發(fā)減少，但精準性增強，針對政府、醫(yī)院及企業(yè)高凈值人群的案件增多。最近的新趨勢是，以木馬控制“僵尸網(wǎng)絡”給直播、短視頻網(wǎng)紅點贊、刷評論、彈幕等，但并非主流趨勢。

   業(yè)內(nèi)專家介紹，以前木馬的制造者，會通過控制“僵尸網(wǎng)絡”打Ddos攻擊（分布式拒絕服務攻擊，可短時間致使某網(wǎng)站癱瘓）、運行彈窗廣告，以及暗中下載應用軟件等，目前這些行為都在減少。這反映出木馬黑產(chǎn)背后的產(chǎn)業(yè)鏈正在變短。

   從變現(xiàn)角度講，原來木馬黑產(chǎn)需要通過各種手段入侵電腦，控制“僵尸網(wǎng)絡”，然后轉讓給其他控制者，打Ddos攻擊獲利；或者給廣告主做彈窗廣告，給應用程序做非法下載，再由下游公司進行結算，這些都是間接變現(xiàn)。而挖礦木馬的出現(xiàn)，讓黑產(chǎn)上游可以直接將挖到的虛擬幣存入錢包，直接交易變現(xiàn)。

    “木馬行業(yè)的黑產(chǎn)都是圍繞流量變現(xiàn)展開的，互聯(lián)網(wǎng)產(chǎn)業(yè)往哪個方向走，黑色產(chǎn)業(yè)就往哪個方向走，基本上是一一對應的關系”，李鐵軍告訴新京報記者，早期是廣告，因為早期互聯(lián)網(wǎng)軟件都是利用廣告彈窗的方式來變現(xiàn)，黑產(chǎn)就控制別人的機器來彈廣告。后來軟件分發(fā)成為一個趨勢，黑產(chǎn)就在用戶不知情的情況下裝很多軟件；直到現(xiàn)在的挖礦，改變了整個變現(xiàn)形式，掙錢特別直接。“鎖定主頁、彈窗廣告、下載軟件等行為變少了，因為都在挖礦。”