7月25日，比特幣價(jià)格突破8500美元大關(guān)，其價(jià)格在7月以來已經(jīng)上漲超40%。虛擬貨幣繁榮背后，黑色數(shù)字產(chǎn)業(yè)鏈卻已經(jīng)悄然將方向轉(zhuǎn)向“挖礦”(利用電腦硬件計(jì)算出虛擬貨幣的位置并獲取該貨幣的過程)領(lǐng)域。

7月初，山東省青州警方破獲了一起制造木馬病毒感染普通電腦，并利這些電腦閑置的CPU資源“挖礦”的案件。涉案的大連某高新技術(shù)企業(yè)控制了包含389萬臺(tái)電腦的“僵尸網(wǎng)絡(luò)”(指被木馬感染，可由遠(yuǎn)程控制的電腦網(wǎng)絡(luò))，涉案案值超1500萬元。

新京報(bào)記者采訪了相關(guān)辦案民警、電腦安全專家等，揭露黑色數(shù)字產(chǎn)業(yè)鏈發(fā)展的上下游，以及黑產(chǎn)如何圍繞互聯(lián)網(wǎng)流量進(jìn)行變現(xiàn)。

吃雞“外掛”暗藏“挖礦”木馬

“我們是按‘非法控制他人計(jì)算機(jī)’罪名立案的。”山東省青州市公安局的李警官介紹，該案犯罪嫌疑人楊某，仿冒“愛奇藝”編寫“酷藝VIP影視”，還提供吃雞游戲“外掛”程序(游戲作弊軟件)供網(wǎng)民免費(fèi)使用，但楊某在程序中暗置木馬程序“挖礦”，專門挖HSR虛擬貨幣。至案發(fā)，楊某已挖取了8551.9枚HSR幣(最高252元/枚，目前42元/枚)。

該案中，楊某將帶有木馬病毒的軟件大規(guī)模擴(kuò)散，是由于其“天下網(wǎng)吧論壇”版主的身份，以及大連晟平網(wǎng)絡(luò)科技有限公司(下稱晟平網(wǎng)絡(luò))的推廣。晟平網(wǎng)絡(luò)表面業(yè)務(wù)是廣告營銷、軟件推廣，背地里卻在其增值客戶端和推廣的軟件中植入“tlMiner”挖礦木馬。經(jīng)過該企業(yè)及其3500個(gè)代理商的推廣，挖礦木馬感染了超100萬臺(tái)電腦。

據(jù)李警官介紹，晟平網(wǎng)絡(luò)共控制了389萬臺(tái)電腦的“僵尸網(wǎng)絡(luò)”，經(jīng)濟(jì)收益超1500萬。其中，利用高性能計(jì)算機(jī)挖取DGB幣(極特幣)、DCR幣(德賽幣)、SC(云產(chǎn)幣)幣2600余萬枚;其他200余萬臺(tái)進(jìn)行廣告彈窗、應(yīng)用下載業(yè)務(wù)。而單獨(dú)售賣“外掛”，單月單人僅能獲益不到百元。

電腦為別人“挖礦”，用戶卻不知情

據(jù)警方信息，該案的線索來自于網(wǎng)絡(luò)安全大數(shù)據(jù)監(jiān)控。2017年年底，騰訊電腦管家(PC端)及安全大腦(云端)發(fā)現(xiàn)“tlMiner”木馬在一天之內(nèi)感染超20萬臺(tái)電腦，并且具有暗中挖礦、以正常應(yīng)用程序帶木馬等行為。警方經(jīng)過近半年時(shí)間的偵破，上述案件告破。

騰訊電腦管家高級(jí)安全專家李鐵軍介紹，相較過去的木馬程序，挖礦木馬不會(huì)改動(dòng)用戶首頁、隱藏文件，甚至具有選擇性占用用戶內(nèi)存的特點(diǎn)，不易被感染者發(fā)現(xiàn);此類病毒直接挖礦改變了數(shù)字黑產(chǎn)的變現(xiàn)方式，無需再與下游企業(yè)結(jié)算，可直接賣幣獲利。

雖然目前該木馬感染用戶計(jì)算機(jī)后，只占用閑置CPU資源挖礦，但與其他木馬類似，服務(wù)器可對(duì)被感染計(jì)算機(jī)做任何事情，比如調(diào)用攝像頭、查看重要文件等。同時(shí)，挖礦對(duì)電腦硬件配置要求比較高，主機(jī)經(jīng)常長(zhǎng)期高負(fù)荷運(yùn)轉(zhuǎn)，顯卡、主板、內(nèi)存等硬件會(huì)提前報(bào)廢，對(duì)電腦的損害大。

此外，此類挖礦木馬除了植入在游戲外掛中，還會(huì)植入在號(hào)稱可以看視頻網(wǎng)站付費(fèi)內(nèi)容的“仿冒”播放器中。以上軟件在運(yùn)行時(shí)，都會(huì)提醒用戶“暫時(shí)關(guān)閉安全軟件、防火墻等”，讓用戶電腦處于無防護(hù)狀態(tài)。

“挖礦”木馬成黑產(chǎn)更直接變現(xiàn)手段

“現(xiàn)在，市面上的木馬病毒一般只做兩種事情，一種是挖礦，一種是勒索”，李鐵軍告訴新京報(bào)記者。去年大面積爆發(fā)的勒索病毒就是木馬病毒，只是其在入侵用戶計(jì)算機(jī)后，通過檢測(cè)用戶信息，了解用戶身份，進(jìn)而對(duì)高凈值人群進(jìn)行勒索。今年以來，勒索病毒大面積爆發(fā)減少，但精準(zhǔn)性增強(qiáng)，針對(duì)政府、醫(yī)院及企業(yè)高凈值人群的案件增多。最近的新趨勢(shì)是，以木馬控制“僵尸網(wǎng)絡(luò)”給直播、短視頻網(wǎng)紅點(diǎn)贊、刷評(píng)論、彈幕等，但并非主流趨勢(shì)。

業(yè)內(nèi)專家介紹，以前木馬的制造者，會(huì)通過控制“僵尸網(wǎng)絡(luò)”打Ddos攻擊(分布式拒絕服務(wù)攻擊，可短時(shí)間致使某網(wǎng)站癱瘓)、運(yùn)行彈窗廣告，以及暗中下載應(yīng)用軟件等，目前這些行為都在減少。這反映出木馬黑產(chǎn)背后的產(chǎn)業(yè)鏈正在變短。

從變現(xiàn)角度講，原來木馬黑產(chǎn)需要通過各種手段入侵電腦，控制“僵尸網(wǎng)絡(luò)”，然后轉(zhuǎn)讓給其他控制者，打Ddos攻擊獲利;或者給廣告主做彈窗廣告，給應(yīng)用程序做非法下載，再由下游公司進(jìn)行結(jié)算，這些都是間接變現(xiàn)。而挖礦木馬的出現(xiàn)，讓黑產(chǎn)上游可以直接將挖到的虛擬幣存入錢包，直接交易變現(xiàn)。

“木馬行業(yè)的黑產(chǎn)都是圍繞流量變現(xiàn)展開的，互聯(lián)網(wǎng)產(chǎn)業(yè)往哪個(gè)方向走，黑色產(chǎn)業(yè)就往哪個(gè)方向走，基本上是一一對(duì)應(yīng)的關(guān)系”，李鐵軍告訴新京報(bào)記者，早期是廣告，因?yàn)樵缙诨ヂ?lián)網(wǎng)軟件都是利用廣告彈窗的方式來變現(xiàn)，黑產(chǎn)就控制別人的機(jī)器來彈廣告。后來軟件分發(fā)成為一個(gè)趨勢(shì)，黑產(chǎn)就在用戶不知情的情況下裝很多軟件;直到現(xiàn)在的挖礦，改變了整個(gè)變現(xiàn)形式，掙錢特別直接。“鎖定主頁、彈窗廣告、下載軟件等行為變少了，因?yàn)槎荚谕诘V。”(記者 白金蕾 實(shí)習(xí)生 趙煒)