今年2月，一惡意程式偽裝成假的廣告攔截程式及 Open DNS服務，每天瞄準大約2500名用戶進行攻擊。

據Kaspersky研究人員所說，該惡意軟件偽裝成名為“ AdShield Pro”的應用程序，除了模擬OpenDNS服務外，其外觀和行為類似於Windows版本的合法AdShield移動廣告攔截器。

研究人員解釋：「用戶啟動程序後，它將更改設備上的DNS設置，以便通過攻擊者的服務器解析所有域，從而阻止用戶訪問某些防病毒站點，例如Malwarebytes.com。替換DNS服務器後，惡意軟件通過運行update.exe開始自我更新。」

此更新程序還會下載並運行經過修改的Transmission torrent客戶端，該客戶端會將目標電腦的ID以及安裝詳細信息發送到命令和控制伺服器（C2），然後下載挖礦程式。

這個惡意程式還會部分文件進行了加密，以使其更難識別。

報告裡也指出，經過修改的傳輸客戶端運行flock.exe，該程序首先計算受感染計算機的參數的哈希值和data.pak文件中的數據，然後將其與lic.data文件中的哈希值進行比較。

若哈希值不匹配，執行將停止，反之有效負載則被解密及安裝。

研究人員指出，這些攻擊似乎是之前發現的Monero Miner攻擊活動的一部分，該活動將Monero勒索軟件偽裝成Malwarebytes防病毒安裝程序。

他們也補充，目前看來，俄羅斯和獨立國家聯合體（CIS）國家的用戶最有可能成為攻擊目標。

參考資料：
https://threatpost.com/fake-ad-blocker-cryptominer-ransomware/164669/?fbclid=IwAR16qGtV-FMRkTTTutf6n7txT0yKJxgKM7YMGv0CmGVqgqCshQy7qL4QBS4