หัวข้อ
เนื่องจากเนื้อหาของบทความซึ่งอาจมีหลายส่วน ทีมตอบสนองการโจมตีและภัยคุกคามได้ทำการแยกประเด็นสำคัญออกเป็นหัวข้อ ซึ่งผู้อ่านสามารถเข้าถึงได้อย่างอิสระตามรายการด้านล่าง

สรุปย่อ
วิธีการโจมตีอุปกรณ์เครือข่าย
เป้าหมายการโจมตี
อุปกรณ์เครือข่ายที่ได้รับผลกระทบ
การตรวจจับและจัดการมัลแวร์ในอุปกรณ์
ตัวบ่งชี้ภัยคุกคาม

สรุปย่อ

ทีมนักวิจัยด้านความปลอดภัย Talos จากบริษัท Cisco ได้มีการเปิดเผยปฏิบัติการการแพร่กระจายมัลแวร์ซึ่งมุ่งโจมตีอุปกรณ์เครือข่ายตามบ้าน (Small Office/Home Office) โดยใช้มัลแวร์ชนิดใหม่ชื่อ VPNFilter ซึ่งในขณะนี้น่าจะมีอุปกรณ์ที่ติดมัลแวร์แล้วอย่างน้อย 500,000 เครื่องทั่วโลก

มัลแวร์ VPNFilter นั้นเมื่อถูกติดตั้งลงในอุปกรณ์แล้ว มันสามารถที่จะดักจับข้อมูลที่ส่งผ่านอุปกรณ์, ขโมยข้อมูลหรือแม้กระทั่งตัดอินเตอร์เน็ตและทำลายอุปกรณ์ให้ไม่สามารถใช้งานต่อได้ ด้วยความซับซ้อนของมัลแวร์ VPNFilter และความเหมือนกับมัลแวร์อีกชนิดหนึ่ง ทีม Talos จึงลงความเห็นว่าปฏิบัติการการโจมตีที่เกิดขึ้นนั้นน่าจะมีประเทศใดประเทศหนึ่งอยู่เบื้องหลังการโจมตี หรือกลุ่มผู้โจมตีอาจได้รับการสนับสนุนทรัพยากรแหล่งทรัพยากรระดับประเทศ (nation-state)

ในขณะนี้ทีม Talos ได้ประสานงานกับหน่วยงานจากหลายประเทศเพื่อดำเนินการปิดเซิร์ฟเวอร์ที่ใช้ในการติดต่อและควบคุมอุปกรณ์ที่ติดมัลแวร์แล้ว และแนะนำให้ผู้ใช้งานดำเนินการตามคำแนะนำซึ่งจากปรากฎในหัวข้อ "การตรวจจับและจัดการมัลแวร์ในอุปกรณ์" โดยด่วนที่สุดเพื่อจัดการภัยคุกคาม
วิธีการโจมตีอุปกรณ์เครือข่าย
อ้างอิงจากรายงานของทีม Cisco Talos กลุ่มผู้โจมตีมีการพุ่งเป้าไปที่อุปกรณ์เครือข่ายตามบ้านซึ่งไม่มีการป้องกันที่ดีพอ รวมไปถึงมีการตั้งค่าที่ไม่ปลอดภัย เช่น ไม่ได้มีการเปลี่ยนรหัสที่ถูกตั้งมาเป็นค่าเริ่มต้นของอุปกรณ์ และขาดการอัปเดต ทำให้มีปัญหาด้านความปลอดภัยที่ง่ายต่อการเป็นเป้าหมายในการโจมตี

ทีม Cisco Talos ระบุว่าในปฏิบัติการที่มีการแพร่กระจายมัลแวร์ VPNFilter ที่ตรวจพบนั้น ยังไม่มีการตรวจพบการใช้งานช่องโหว่ที่ไม่เคยมีการตรวจพบมาก่อนหรือช่อง zero day ในการโจมตีดังกล่าวเลย
เป้าหมายการโจมตี
อ้างอิงจากรายงานของทีม Cisco Talos เมื่อกลุ่มผู้โจมตีประสบความสำเร็จในการโจมตีอุปกรณ์เครือข่ายตามบ้านแล้ว กลุ่มผู้โจมตีจะติดตั้งมัลแวร์ VPNFilter ลงไปในอุปกรณ์ มัลแวร์ VPNFilter ถูกออกแบบมาอย่างซับซ้อนและทำงานได้หลากหลายฟังก์ชันการทำงาน อาทิ

มัลแวร์จะดำเนินการเขียนทับข้อมูลในส่วนโปรแกรมของอุปกรณ์ซึ่งจะส่งผลให้อุปกรณ์ไม่สามารถใช้การได้
ดักจับข้อมูลที่ถูกรับ-ส่งในเครือข่าย
เข้าถึงและส่งออกข้อมูลหรือไฟล์ที่มีอยู่ในอุปกรณ์
ติดตั้งส่วนเสริมของมัลแวร์เพิ่มเติมซึ่งอาจทำให้มัลแวร์แพร่กระจายได้ในเครือข่าย หรือทำให้มัลแวร์ถูกตรวจจับได้ยากขึ้น

ทั้งนี้จากลักษณะความซับซ้อนและความลึกลับตรวจจับยากของมัลแวร์ ทีม Cisco Talos ลงความเห็นว่าเป้าหมายของปฏิบัติการและมัลแวร์ VPNFilter นั้นคือการติดตั้งอยู่ในอุปกรณ์จำนวนมากเพื่อรอการควบคุมให้ดำเนินการอย่างใดอย่างหนึ่ง เช่น สร้างการโจมตีทางไซเบอร์ขนาดใหญ่ รวมไปถึงถูกติดตั้งเพื่อจารกรรมข้อมูลและเก็บรวบรวมข่าวกรอง
อุปกรณ์เครือข่ายที่ได้รับผลกระทบ
อ้างอิงจากรายงานของทีม Cisco Talos อุปกรณ์เครือข่ายตามบ้านที่ตกเป็นเป้าหมายในการโจมตีที่ตรวจพบมีตามรายการดังต่อไปนี้

อุปกรณ์ยี่ห้อ Linksys รุ่น E1200, E2500 และ WRVS4400N
อุปกรณ์ยี่ห้อ MikroTik รุ่น 1016, 1036 และ 1072
อุปกรณ์ยี่ห้อ NETGEAR รุ่น DGN2200, R6400, R7000, R8000, WNR1000 และ WNR2000
อุปกรณ์ยี่ห้อ TP-Link รุ่น R600VPN
อุปกรณ์ยี่ห้อ QNAP รุ่น TS251 และ TS439 Pro

การตรวจจับและจัดการมัลแวร์ในอุปกรณ์
ในกรณีที่เครือข่ายมีการจัดเก็บบันทึกการใช้งานเครือข่าย (log) เอาไว้ ให้ดำเนินการตรวจสอบการเรียกหาที่อยู่ซึ่งปรากฎในหัวข้อ "ตัวบ่งชี้ภัยคุกคาม" หากตรวจพบว่ามีการเรียกไปยังที่อยู่ดังกล่าว ให้ดำเนินการจัดการกับมัลแวร์ในอุปกรณ์ตามคำแนะนำด้านล่าง

สำหรับผู้ใช้งานที่ไม่แน่ใจว่ามีอุปกรณ์ติดมัลแวร์อยู่หรือไม่ เนื่องจากการตรวจสอบการมีอยู่ของมัลแวร์นั้นเป็นไปได้ยาก FBI แผนก Internet Crime Complaint Center ได้มีการเผยแพร่คำแนะนำในการจัดการกับมัลแวร์ดังนี้

ดำเนินการสำรองข้อมูลการเชื่อมต่อของอุปกรณ์เอาไว้ ซึ่งอาจทำได้โดยการถ่ายรูปข้อมูลการตั้งค่า เพื่อที่จะนำมาใช้ตั้งค่าอุปกรณ์ในภายหลัง
ดำเนินการล้างการตั้งค่าของอุปกรณ์ให้เป็นค่าเริ่มต้นที่มาจากโรงงาน (factory setting) เพื่อลบมัลแวร์ซึ่งอาจฝังตัวอยู่ในระบบ
ดำเนินการอัปเดตรุ่นของอุปกรณ์โดยตรวจสอบตามแหล่งข้อมูลของผู้ผลิตอุปกรณ์
ปิดการใช้งานฟีเจอร์ควบคุมอุปกรณ์จากระยะไกล (remote management)
เปลี่ยนรหัสผ่านสำหรับเข้าถึงอุปกรณ์ให้เป็นรหัสผ่านที่มีความแข็งแกร่งและคาดเดาได้ยาก

หากมีการใช้ Snort ในการตรวจจับการโจมตีภายในเครือข่าย มัลแวร์ VPNFilter สามารถถูกตรวจจับได้ผ่านทาง rule ดังต่อไปนี้ 45563, 45564, 46782 และ 46783
ตัวบ่งชี้ภัยคุกคาม
อุปกรณ์ที่มีการติดมัลแวร์ VPNFilter จะมีการเชื่อมต่อไปยังที่อยู่ตามโดเมนเนมดังต่อไปนี้

photobucket[.]com/user/nikkireed11/library
photobucket[.]com/user/kmila302/library
photobucket[.]com/user/lisabraun87/library
photobucket[.]com/user/eva_green1/library
photobucket[.]com/user/monicabelci4/library
photobucket[.]com/user/katyperry45/library
photobucket[.]com/user/saragray1/library
photobucket[.]com/user/millerfred/library
photobucket[.]com/user/jeniferaniston1/library
photobucket[.]com/user/amandaseyfried1/library
photobucket[.]com/user/suwe8/library
photobucket[.]com/user/bob7301/library
toknowall[.]com

และอาจจะมีการติดต่อไปยังหมายเลขไอพีแอดเดรสดังต่อไปนี้

91.121.109[.]209
217.12.202[.]40
94.242.222[.]68
82.118.242[.]124
46.151.209[.]33
217.79.179[.]14
91.214.203[.]144
95.211.198[.]231
195.154.180[.]60
5.149.250[.]54
91.200.13[.]76
94.185.80[.]82
62.210.180[.]229
zuh3vcyskd4gipkm[.]onion/bin32/update.

กลุ่มนักวิจัยด้านความปลอดภัยจากบริษัท Kromtech เผยผลการทดสอบความเร็วในการแพร่กระจายของมัลแวร์เรียกค่าไถ่ที่มีเป้าหมายโจมตีเซิร์ฟเวอร์ MongoDB ที่มีช่องโหว่ ค้นพบว่ามัลแวร์ใช้เวลาเพียงแค่ 3 ชั่วโมงในการค้นหาเซิร์ฟเวอร์ที่มีช่องโหว่และอีก 13 วินาทีเพื่อลบฐานข้อมูล

ปัญหาหลักของเซิร์ฟเวอร์ MongoDB โดยส่วนมากนั้นมีที่มาจากการตั้งค่าที่ไม่ปลอดภัยซึ่งมักจะถูกตั้งค่ามาทันทีที่เริ่มติดตั้งและมีการใช้งาน บริการ Shodan ตรวจพบเซิร์ฟเวอร์ MongoDB กว่า 30,000 รายที่ยังคงมีความเสี่ยงที่จะถูกโจมตีและได้รับผลกระทบจากมัลแวร์เรียกค่าไถ่

รูปแบบการโจมตีที่แฮกเกอร์ดำเนินการนั้น ทันทีที่แฮกเกอร์สามารถเข้าถึงฐานข้อมูลได้จากระยะไกล แฮกเกอร์จะทำการลบฐานข้อมูลรวมไปถึงไฟล์บันทึกการเข้าถึงต่างๆ เพื่อลบร่องรอยตัวเอง หลังจากนั้นแฮกเกอร์จะทำการสร้างฐานข้อมูลใหม่เพื่อแจ้งให้ผู้ใช้งานทราบและเรียงร้องค่าไถ่

Recommendation : การป้องกันในเบื้องต้นนั้น แนะนำให้ผู้ใช้งานและผู้ดูแลระบบทำการตั้งค่าระบบตาม Security Best Practices (https://www.

นักวิจัยจาก Kaspersky Lab ได้มีการเปิดเผยข้อมูลว่าฟังก์ชันเดิมของ Prilex คือการปรับแต่ง Malware ด้วยฟังก์ชันพิเศษเพื่อขโมยข้อมูลบัตรจากระบบ POS หมายความว่าระบบ POS เมื่อติด Malware แล้วอาจถูกปรับแต่ง และทำให้บุคคลที่สามสามารถเข้ามาดักจับข้อมูลระหว่างทางได้ โดยช่วงระยะทางดังกล่าวคือตอนที่ลูกค้ามีการจ่ายเงินผ่านระบบ POS ที่ติด Malware ข้อมูลดังกล่าวจะถูกส่งไปให้กับ Hacker โดยอัตโนมัติ ในประเทศบราซิลกลุ่ม Hacker ได้มีการพัฒนาโคงสร้างของ Malware และสร้างบัตรปลอมขึ้นมา มีข้อผิดพลาดเกิดขึ้นในการพัฒนาตัว EMV( ระบบรักษาความปลอดภัยสำหรับการทำธุรกรรมทางการเงิน) ซึ่งนั่นทำให้ข้อมูลที่ผ่านกระบวนการยืนยันไม่ได้รับการยืนยัน และที่แน่ไปกว่านั้นคือบัตรปลอมเหล่านี้สามารถใช้ได้กับทุกระบบ POS ในบราซิล

นักวิจัยจาก Kaspersky Lab ระบุถึงรายละเอียดโครงสร้างตัว Prilex ว่ามี Java applet และแอพพลิเคชันชื่อว่า Daphne ซึ่งเขียนข้อมูลลงบนบัตรปลอม และจะประเมินจำนวนข้อมูลที่สามารถดึออกมาได้ Prilex ยังมีฐานข้อมูลที่เอาไว้เก็บรหัสของบัตรต่างๆ ข้อมูลจะถูกขายเป็นแพ็คเกจในบราซิล โดยปกติเมื่อมีการใช้บัตรที่ระบบ POS จะประกอบไปด้วย 4 ขั้นตอน Namely Initialization, Data Authentication, Cardholder Verification, และ Transaction มีเพียงแค่ขั้นตอนแรกและสุดท้ายที่จำเป็น สองอันตรงกลางสามารถข้ามขั้นตอนไปได้ เมื่อมีการใช้บัตรปลอมดังกล่าว ระบบ POS จะได้รับสัญญาณว่าข้ามขั้นตอน data authentication ได้ และตัวระบบไม่จำเป็นต้องมองหา Cryptographic Keys ของบัตร

Santiago Pontiroli นักวิจัยจาก Kaspersky ได้ออกมาบอกว่า Orilex ในเวลานี้เป็น Malware ที่รองรับการใช้งานของ Hacker แบบเต็มตัวเพราะมีหน้า UI ที่ออกแบบมาดี และมีไฟล์ต้นแบบในการสร้างโครงสร้างบัตรต่างๆ ทำให้กลายเป็นธุรกิจในตลาดมืด

ที่มา : hackread

พบการระบาดของมัลแวร์ กระทบผู้ใช้ส่วนใหญ่ในรัสเซียและตุรกีกว่า 400,000 คน ภายในช่วงระยะเวลา 12 ชั่วโมง จากการใช้ backdoor บน BitTorrent สัญชาติรัสเซีย ที่ชื่อว่า "MediaGet"

ไมโครซอฟท์เปิดเผยรายงานเชิงลึกเกี่ยวกับการทำงานของโทรจันตัวนี้ ที่มีชื่อว่า Dofoil หรือ Smoke Loader โดยจะถูกติดตั้งลงบนคอมพิวเตอร์ของผู้ใช้ผ่านทางไฟล์ชื่อ my.

พบ Malware ในระบบ POS (Point of Sale) ของร้านอาหาร Applebee กว่า 160 ร้าน ทำให้มีข้อมูลบัตรเครดิตของลูกค้ารั่วไหลออกไป

ทางด้าน RMH ซึ่งเป็นผู้ถือสิทธิ์แฟรนไชส์ โดยเป็นทั้งเจ้าของและผู้จัดการกว่า 160 สาขาได้ออกมาบอกว่าพบ Malware ระบาดอยู่ในระบบ POS ซึ่งทำให้ Hacker สามารถขโมยข้อมูลรายบุคคล เช่น ชื่อ เลขบัตร วันหมดอายุของบัตร เป็นต้น ร้าน Applebee ได้รับผลกระทบอยู่หลายวัน โดยช่วงแรกเกิดขึ้นประมาณ พฤศจิกายน หรือ ธันวาคม 2017 ตามรายงานจากเว็บไซต์ของ RHM

ทาง RHM เชื่อว่า Malware ดังกล่าวถูกออกแบบมาให้ดักจับข้อมูลบัตร และอาจส่งผลกระทบต่อระบบซื้อขายบางรายการสำหรับสาขาที่ติด Malware RHM ได้บอกกับทาง Threatpost ว่ามีการสืบสวนเรื่องนี้โดยได้รับความช่วยเหลือจากบริษัทด้านรักษาความปลอดภัยชั้นนำ และได้มีการรายงานเรื่องนี้ไปยังผู้บังคับใช้กฎหมาย โฆษกของ RHM บอกกับทาง Threatpost ว่าสามารถควบคุมเหตุการณ์ทันทีที่พบเมื่อวันที่ 13 กุมภาพันธ์ 2018 RHM ให้ข้อมูลเพิ่มเติมว่าได้ใช้งานตัวระบบ POS แยกจากเครือข่ายของทาง Applebee ต่างหาก และจะมีผลแค่กับสาขาที่ทาง RHM เป็นเจ้าของเท่านั้น POS Malware คือภัยคุกคามที่กำลังเพิ่มจำนวนขึ้นสำหรับผู้ที่ลงทุนในอุตสาหกรรมอย่างโรงพยาบาล

Fred Kneip, CEO ของบริษัท CyberGRX บอกกับทาง Threatpost ว่า RHM ได้แนะนำให้ลูกค้าตรวจสอบข้อมูลการใช้บัตรอยู่เสมอ แต่การป้องกัน POS Malware ที่ดีที่สุดต้องมาจากตัวผู้ค้าเอง

ที่มา : threatpost

นักวิจัยจาก McAfee Advanced Threat Research (ATR) ได้มีการเปิดเผยแคมเปญการโจมตีล่าสุดภายใต้ชื่อ HaoBao ซึ่งพุ่งเป้าโจมตีผู้ครอบครองบิทคอยน์และสถาบันการเงินผ่านช่องทางอีเมลพร้อมไฟล์แนบอันตรายที่ดาวโหลดและติดตั้งมัลแวร์

McAfee ATR เชื่อว่าผู้ที่อยู่เบื้องหลังการโจมตีครั้งนี้นั้นเกี่ยวข้องกับกลุ่มแฮกเกอร์ Lazarus ซึ่งเคยฝากผลงานในการแฮก Sony อ้างอิงจากการใช้งานลักษณะอีเมลฟิชชื่งที่คล้ายกับที่ Lazarus เคยใช้

อีเมลที่ใช้แพร่กระจายมัลแวร์นั้นถูกปลอมแปลงเป็นอีเมลเกี่ยวกับการสมัครงานโดยมีลิงค์สำหรับดาวโหลดเอกสารเชื่อมไปยัง Dropbox โดยเอกสารดังกล่าวจะมีการฝังมาโครสคริปต์เพื่อดาวโหลดและติดตั้งมัลแวร์ ตัวมัลแวร์เองมีความสามารถในการขโมยข้อมูลออกจากเครื่องที่มีการแพร่กระจายรวมไปถึงสแกนหาการใช้งานที่เกี่ยวข้องกับบิทคอยน์ด้วย
Recommendation แนะนำให้ตรวจสอบพฤติกรรมการทำงานของระบบเทียบเคียงกับ IOC ที่ปรากฎตามแหล่งที่มา และดำเนินการตามความเหมาะสมหากพบเจอการแพร่กระจายของมัลแวร์อย่างเร็วที่สุด

ที่มา : securingtomorrow.

ระบบที่เกี่ยวข้องกับมหกรรมโอลิมปิกฤดูหนาวประจำปี 2018 ซึ่งจัดขึ้นที่เมืองพย็องชัง เกาหลีใต้ ถูกรบกวนและโจมตีอย่างหนักในช่วงก่อนและระหว่างพิธีเปิดเป็นเวลากว่า 12 ชั่วโมง ส่งผลให้หลายระบบล่มและไม่สามารถให้บริการได้ เชื่อ "เกาหลีเหนือ", "จีน" และ "รัสเซีย" อยู่เบื้องหลังการโจมตี

Cisco Talos ได้ออกมาให้รายละเอียดเกี่ยวกับการโจมตีภายใต้ชื่อแคมเปญ "Olympic Destroyer" ในภายหลังว่า การโจมตีทางไซเบอร์ในครั้งนี้นั้นมุ่งหวังไปที่การทำลายและขัดขวางการทำงานของระบบเป็นสำคัญ หลังจากมีการตรวจพบมัลแวร์ที่มุ่งลบข้อมูลและแพร่กระจายโดยอาศัยการหาข้อมูลการเข้าถึงระบบจากเครื่องที่มีการติดเชื้อแล้ว

ในขณะนี้รายละเอียดที่ยังไม่ชัดเจนคือวิธีการที่ผู้โจมตีทำการปล่อยมัลแวร์เข้ามาในระบบ อย่างไรก็ตามการทำงานของมัลแวร์ประเภทนี้นั้นเผยให้เห็นเด่นชัดถึงจุดประสงค์การโจมตี มัลแวร์มีการแพร่กระจายโดยอาศัยโปรแกรท PsExec หลังจากนั้นจึงมีการลบข้อมูลสำคัญ เช่น ไฟล์สำรองของระบบและบันทึกการทำงาน รวมไปถึงปิดการใช้งานฟังก์ชันการกู้คืนระบบและทุกเซอร์วิสเพื่อทำให้ระบบไม่สามารถเปิดใช้งานได้

ที่มา : Bleepingcomputer

สรุปย่อ

ทีมนักวิจัยด้านความปลอดภัย Unit 42 จาก Palo Alto Networks ได้ประกาศสถิติการแพร่กระจายของมัลแวร์ประเภท miner ซึ่งพุ่งเป้าไปที่การสร้างผลกำไรในสกุลเงินออนไลน์แบบเสมือนย้อนหลัง 4 เดือน โดยพบว่ายอดดาวโหลดไฟล์โปรแกรมของมัลแวร์ประเภทดังกล่าวในอันดับที่ 1 นั้นมีที่มาจากประเทศไทยกว่า 3,500,000 ครั้ง และมากกว่าอันดับ 2 เกือบเท่าตัว

ทีมตอบสนองการโจมตีและภัยคุกคามจากบริษัทขอแนะนำให้ทำการตรวจสอบการแพร่กระจายของมัลแวร์ตามคำแนะนำในหัวข้อ "ขั้นตอนแนะนำในการจัดการกับภัยคุกคาม" ด้านล่างโดยด่วนที่สุด

ทำความรู้จักกับภัยคุกคามประเภทมัลแวร์ขุดบิทคอยน์
กระบวนการหนึ่งที่สำคัญของระบบเงินแบบไม่มีศูนย์กลาง (decentralized system) คือการที่ผู้ใช้งานในระบบนั้นมีหน้าที่ในการช่วยกันตรวจสอบธุรกรรมที่เกิดขึ้นว่าถูกต้องหรือไม่ และเพื่อจูงใจให้เกิดการตรวจสอบต่อไปเรื่อยๆ ผู้ที่ช่วยในการตรวจสอบธุรกรรมก็จะได้รับ "ผลตอบแทน" นั้นเป็นรางวัล กระบวนการที่ผู้ใช้งานช่วยกันพิสูจน์ความถูกต้องของธุรกรรมนั้นถูกเรียกชื่อตามวิธีการว่า mining

อย่างไรก็ตามการ mining เพื่อให้ได้ผลตอบแทนนั้นแท้จริงเปรียบเสมือนกับการแก้ปัญหาโจทย์ทางคณิตศาสตร์รูปแบบหนึ่งที่เป็นงานที่คอมพิวเตอร์ถนัด การแย่งชิงเพื่อให้สามารถแก้โจทย์ปัญหาได้ก่อนจึงเกิดขึ้นในรูปแบบของการทุ่มพลังในการประมวลผลของคอมพิวเตอร์หลายสิบหรือหลายร้อยเครื่องเพื่อแข่งขันกันว่าผู้ใดจะได้ "คำตอบที่ถูกต้อง" หรือ "ผลตอบแทน" ก่อนกัน

แน่นอนว่าทุกๆ คนนั้นอยากเป็นผู้ชนะ และชัยชนะที่มาพร้อมกับผลตอบแทนมูลค่าสูงย่อมทำให้เกิดการแข่งขันที่สกปรก ผู้ประสงค์ร้ายหรือแฮกเกอร์จึงอาศัยการโจมตีช่องโหว่ของระบบคอมพิวเตอร์ต่างๆ เพื่อแพร่กระจายโปรแกรมสำหรับ mining ซึ่งเมื่อเริ่มทำงานแล้ว โปรแกรม mining จะดึงทรัพยากรของระบบคอมพิวเตอร์ทั้งหมดเพื่อใช้ในการกระบวนการ mining โดยมีปลายทางเพื่อสร้างผลตอบแทนให้กับเจ้าของกระเป๋าหรือเจ้าของบัญชีที่ควบคุมมัลแวร์ให้มากที่สุด
การแพร่กระจายของมัลแวร์ขุดบิทคอยน์
สำหรับมัลแวร์ miner ซึ่งพุ่งเป้าไปที่สกุลเงิน Monero นั้น ทีม Unit 42 ได้ทำการสรุปวิธีการที่ผู้ประสงค์ร้ายใช้ในการแพร่กระจายมัลแวร์ซึ่งมีความแตกต่างกันตามช่วงเวลาตามรายละเอียดดังนี้

ในส่วนของการดาวโหลดและติดตั้งตัวเองนั้น ผู้ประสงค์ร้ายได้มีการใช้งานบริการ Adf.

Patrick Wardle ได้วิเคราะห์มัลแวร์ตัวใหม่ที่ออกแบบมาเพื่อโจมตีไปที่การตั้งค่า DNS บนอุปกรณ์ macOS ชื่อ OSX / MaMi หรือ "SBMaMiSettings" ปัจจุบันสามารถตรวจจับได้โดย ESET และ Ikarus มีชื่อ Signature ว่า OSX / DNSChanger.

พบมัลแวร์ Digmine ซึ่งติดตั้ง Monero cryptocurrency miner และ Chrome extension ที่เป็นอันตรายโดยแพร่กระจายไปยังเหยื่อรายใหม่ผ่าน Facebook Messenger โดยเหยื่อจะได้รับไฟล์ชื่อ video_xxxx.