夜雨聆风
来源:https://zhuanlan.zhihu.com/p/47736758
作者:崇慕
https://www.zhihu.com/people/chongmu
由于腾讯应急中心的同学们迅速排查,最后得知是我们公司本地网络的问题。
今天打开PC端微信,windows10防火墙Defender一直弹出这个提示,微信PC端关闭后就不弹:
如果没有拦截会打开qq.com官网,并且CPU经常资源100%。
然后查看详情,好多:
再查看详情:
然后查看这个*675.dump文件
里面是CoinHive数字货币门罗币的挖矿代码。
里面还有钱包地址9pFICAsxNfFPjTILDGhD5D3jqkAqDRND
里面的挂马地址是 来自腾讯云 182.254.78.140
目前这个现象已在多个用户电脑上发行,以上问题已反馈腾讯云运营人员(微信部门的人不认识...)。希望早解决。
补充:在一个网络安全群里发了这篇文章后,被腾讯安全应急中心大佬二胡(lakehu) 看到 ,迅速拉腾讯TSRC同学一个群帮忙分析问题。得知我的本地路由网络被劫持导致所致。
感谢腾讯安全应急中心同学们!最后有安全问题,可以反馈。
腾讯安全应急响应中心security.tencent.com
腾讯同学给的其他参考资源
MikroTik routers enslaved in massive Coinhive cryptojacking campaign | ZDNetwww.zdnet.com
http://www.freebuf.com/news/179669.htmlwww.freebuf.com
华盟君点评:攻击者利用微信PC版自带浏览器的漏洞,进行中间人攻击。达到挖矿效果。整个攻击流程一气呵成,可谓经典。
