恶意攻击行动Prowli散布采矿程式、进行流量诈骗，全球已有4万台装置沦陷

资安研究团队Guardicore Labs本周揭露了一个采矿恶意行动Prowli，相关攻击已殃及全球9,000个企业的4万个装置，除了于被骇装置上植入采矿程式之外，也会把合法网站的流量导至恶意网站，不管是Drupal网站、WordPress网站、DSL调制解调器、采用SSH的服务器或IoT装置皆受害。

该实验室指出，Prowli攻击行动锁定多元化的平台，从代管热门网站的CMS服务、执行HP Data Protector的备份服务器、采用开放SSH传输埠的服务器、到DSL调制解调器与IoT装置都受到骇客的袭击，入侵途径包括攻击程式、暴力破解密码，以及脆弱的配置。其中，有67%的受害装置为采用脆弱SSH凭证的服务器。

此外，骇客并没有设定任何的产业，不管是电脑服务业、大学、政府机关、媒体、金融服务或运输业全都受害，Guardicore Labs因而推测骇客的企图不在于间谍行为，而是单纯为了获利。

Prowli攻击行动有两个获利来源，一是于被骇装置上植入开采门罗币（Monero）的采矿程式，二则是进行流量诈骗，挟持使用者流量以将其导至各种恶意网站，诸如伪造的技术支援服务或是恶意的浏览器扩充程式等，骇客借由出售用户流量而获利。

值得注意的是，Prowli有个攻击百宝箱，可根据需求调用不同的攻击工具，例如采用SSH的装置可能会被暴力破解密码而植入采矿程式，安装K2扩充程式的Joomla! 服务器则是被开采档案下载漏洞，要攻陷DSL调制解调器则是利用网络上的配置服务，还含有多种可入侵WordPress服务器的方法。

其它受到Prowli攻击行动锁定的还有Drupal服务器、PhpMyAdmin服务器、NFS服务器，以及其它曝露SMB传输埠的服务器。

要预防Prowli攻击只要采取基本的防护动作即可，包括随时采用最新版本，以及设定不容易被破解的强大密码，Guardicore Labs还建议企业于自家网络中隔离那些亦受攻击的系统。