最近出现一些具备伪装性的恶意可执行文件、基于脚本的下载器被用来安装加密货币挖矿机、信息窃取器、勒索软件等恶意软件。如果受害者在有漏洞的Windows主机上运行这种恶意软件，那么受害者很难发现恶意软件的任何可见的活动。

Unit42研究人员最近发现一起使用欺骗技术的假Flash更新。2018年8月，一些样本模仿Flash更新通过弹窗通知从官方Adobe下载。假的Flash更新会在用户机器上安装XMRig加密货币挖矿机这类用户并不想要的软件，不过，恶意软件同时也会将受害者的Flash Player更新到最新版本。

因为确实Flash已经更新成功，所以一些潜在受害者可能并不会注意到其恶意活动。然而，XMRig加密货币挖矿机或其他安装的恶意程序都是在后台静默运行的。 

图1: 攻击活动流图

趋势

在搜索最新的假Flash更新过程中，研究人员注意到一个来自非Adobe的基于云的服务器的以AdobeFlashPlayer__命名的Windows可执行文件。这些下载在URL中都含有字符串flashplayer_down.php?clickid=。研究人员从2018年3月开始共发现113个满足这种条件的恶意软件样本，其中77个含有CoinMiner标签，剩余36个样本与其他77个CoinMiner相关的可执行文件共享其他的标签。

图2: 攻击活动中假Flash更新器的数量

细节

基于AutoFocus的数据，还不能确定有多少潜在的受害者访问了传播假的Flash更新的URL。但研究人员2018年8月24日测试了SHA256哈希值为485352a3985bce69a020dc49e970fde337279eb1986ea699ca6bec1f5a8068ac的样本。该样本可以生成Adobe Flash installer弹出窗口和Flash Player安装，而XMRig加密货币挖矿机在受感染的Windows主机后台运行。受害者会接收到关于运行下载文件的告警消息。

图3: 运行假Flash更新器的告警消息

图4: 运行程序后，从Adobe下载真实的Flash Player

图5: 真实Flash Player安装过程

图6: 安装过程最后会询问Flash更新选项

图7: Adobe感谢用户安装Flash Player的页面

图8: Flash Player更新到最新版

感染过程中的网络流量主要源于Flash更新。但受感染的主机很快会在TCP 14444端口生成与XMRig加密货币挖矿相关的流量。挖矿机使用的Monero钱包是：

41ompKc8rx9eEXtAAm6RJTTm6jg8p6v3y33UqLMsUJS3gdUh739yf7ThiSVzsU4me7hbtVB61rf7EAVsJeRJKGQH4LFi3hR

图9: Wireshark抓取的感染后的流量（从XMRig运行开始）

图10: 含有Monero钱包地址的XMRig流量

流量最开始，受感染的Windows主机会生成到osdsoft[.]com的HTTP POST请求。该域名与推送加密货币挖矿机和其他用户不想要的软件的更新或安装器相关联。比如，2017年12月发现的free-mod-menu-download-ps3.exe，其XMRig流量就位于TCP 14444端口。其他恶意软件样本也显示osdsoft[.]com与恶意软件有关。

总结

该攻击使用合法活动来隐藏加密货币挖矿机和其他用户不想要的软件的传播。所以，建议用户要注意推送的Flash更新，以及更新后设备的运行情况，比如流量、CPU等。