由于單設(shè)備的“挖礦”產(chǎn)量有限，別有用心的人將目標(biāo)瞄向了網(wǎng)絡(luò)上的NAS設(shè)備。此前我們曾報道過多起針對群暉（Synology）NAS產(chǎn)品的惡意/勒索軟件，但現(xiàn)在也有一款名叫Mal/Miner-C的惡意軟件變種（又稱PhotoMiner）被發(fā)現(xiàn)將目光瞄向了聯(lián)網(wǎng)的希捷NAS設(shè)備。該惡意軟件會借助這個跳板來感染與之相連的計(jì)算機(jī)，然后偷偷地“挖掘”Monero數(shù)字貨幣。

Miner-C又稱PhotoMiner，出現(xiàn)時間在2016年6月份。當(dāng)時有報道稱其針對FTP服務(wù)器，試圖通過一整套默認(rèn)的用戶名/密碼列表，強(qiáng)行將自身散播到新的機(jī)器（蠕蟲特性）。

在最新的Miner-C版本中，同樣的功能仍然存在，但Sophos安全研究人員表示：近期迭代的Miner-C，利用了Seagate Central NAS設(shè)備上的一個缺陷，來將自身復(fù)制到公共數(shù)據(jù)文件中。

NAS設(shè)備可簡單理解為“聯(lián)網(wǎng)的硬盤驅(qū)動器”，允許用戶通過本地網(wǎng)絡(luò)訪問文件（但也有部分設(shè)備支持開啟互聯(lián)網(wǎng)遠(yuǎn)程訪問）。

據(jù)Sophos所述，Seagate Central設(shè)備包含了一個允許所有用戶訪問的公共文件夾，甚至連匿名用戶都可以免登陸訪問，而且無法禁用或刪除。

Miner-C會將自身復(fù)制到所有可以查找到的希捷中央NAS設(shè)備的公共文件夾上，其中就包括一個偽裝成照片文件夾的“Photo.scr”（后綴名表明它其實(shí)是一個被惡意代碼篡改過的屏保文件）。

由于Windows有著默認(rèn)隱藏文件擴(kuò)展名的壞習(xí)慣，披著“正經(jīng)文件夾圖標(biāo)外衣”的惡意腳本很容易被用戶錯誤地執(zhí)行。

當(dāng)用戶嘗試訪問該‘文件夾’的時候，實(shí)際上運(yùn)行的是‘Photo.scr’這個惡意文件，最終其計(jì)算機(jī)被安裝上了虛擬貨幣的挖礦軟件（本例中為Monerro）。

Monero是當(dāng)前頗能盈利的一款‘數(shù)字貨幣’，礦工和黑客們選它為目標(biāo)也是理所當(dāng)然。當(dāng)然這個行業(yè)總會遇到瓶頸，比如基于PC硬件的比特幣挖礦早在2012年就變得無利可圖了。

研究人員發(fā)現(xiàn)有7000多臺希捷中央NAS設(shè)備連上了互聯(lián)網(wǎng)，這意味著黑客可能已經(jīng)感染了其中約5000臺設(shè)備。

由于所有采集到的Monerro數(shù)字貨幣都被存在惡意軟件的配置文件中，Sophos得以預(yù)估其獲利或已達(dá)7.66萬歐（8.64萬美元），約占整個Monero挖礦活動的2.5%。