网络安全机构Trellix日前发布安全通报称,一种新型恶意挖矿程序正通过破解版办公软件在互联网上大规模传播。不法分子将定制化的XMRig挖矿木马植入盗版微软Office及金山WPS安装包中——诱导用户下载使用——进而控制受害设备进行非法数字货币挖矿活动。 据技术分析显示,该木马采用了多重伪装和对抗技术。攻击者将恶意程序的控制模块伪装成系统核心进程Explorer.exe,使其能够在后台静默运行而不易被察觉。一旦感染设备,木马会自动部署挖矿组件,并建立持续监控机制。即使用户手动终止挖矿进程,控制程序也会立即重启对应的组件,形成顽固的循环机制。 更为严重的是,当挖矿进程多次启动受阻时,恶意程序会采取极端手段——强制终止Windows系统的真实资源管理器进程。该操作会导致用户桌面和任务栏突然消失,迫使用户重新登录或重启系统。而在系统重启的过程中,恶意程序恰好获得重新注入并恢复运行的时机,实现自我修复和持久化驻留。 从技术层面分析,该木马还利用了系统底层漏洞提升攻击效能。攻击者在受感染设备中加载存在安全缺陷的WinRing0x64.sys驱动程序,该驱动的1.2.0版本存在已知漏洞,允许攻击者通过特定接口获取内核级别的系统权限。掌握这一权限后,不法分子可以深度控制设备硬件资源,优化挖矿性能,同时规避常规安全软件的检测。 值得警惕的是,这种木马还具备类似蠕虫病毒的自我传播能力。当用户将U盘、移动硬盘等存储设备连接至受感染计算机时,恶意程序会自动复制到移动设备,并创建伪装成正常文件的快捷方式。一旦其他用户在未感染设备上点击这些伪装文件,即可能导致新的感染发生。这种传播方式突破了网络隔离的防护,即便在离线环境下也可能造成病毒扩散。 安全专家指出,此类攻击的根源在于部分用户出于节省成本考虑,选择从非官方渠道下载使用盗版软件。这些未经授权的软件安装包往往被不法分子篡改,成为恶意代码的载体。一旦安装,用户不仅面临法律风险,更可能遭受财产损失和信息泄露。 针对这一安全威胁,业内人士建议用户务必从官方渠道获取软件,及时更新操作系统和安全补丁,安装可靠的安全防护软件。企业用户应加强内部网络管理,规范移动存储设备使用,建立完善的安全审计机制。同时,主管部门应加大对盗版软件传播渠道的打击力度,从源头上切断恶意软件的传播链条。
网络安全不容侥幸。使用盗版软件看似节省成本,实则可能导致算力被劫持、数据泄露等更大损失。个人用户应养成正规下载、定期更新的习惯;企业则需要建立完善的软件管理和外设使用制度,才能有效应对日益复杂的网络威胁。