，單日影響機器量最高可達20萬臺。隨即在3月份配合騰訊守護者計劃安全團隊，協助山東警方快速打擊木馬作者，并在4月初打掉這個鏈條頂端的黑產公司。據統計，該團伙合計挖掘DGB（極特幣）、HSR（紅燒肉幣）、XMR（門羅幣）、SHR（超級現金）、BCD（比特幣鉆石）等各種數字加密貨幣超過2000萬枚，非法獲利逾千萬。

2018年2月，騰訊電腦管家發現一款門羅幣挖礦木馬藏身在上百款《荒野行動》輔助二次打包程序中傳播，并在2月中下旬通過社交群、網盤等渠道傳播，出現明顯上漲趨勢。

2018年5月，騰訊御見威脅情報中心感知到一款名為“520Miner”的挖礦木馬通過游戲外掛傳播，控制數千臺機器挖了好幾天的礦，最終收獲67枚VIT幣，總價值不到一毛錢人民幣，可以說是史上最能窮折騰的挖礦木馬。

（2）利用網頁掛馬，大范圍傳播

挖礦木馬的傳播渠道不限于通過偽裝成電腦軟件下載，還普遍采用了網頁掛馬這種最高效率的傳播方式。

2018年4月12日，騰訊御見威脅情報中心監測到國內一起大規模的網頁掛馬事件。當天包括多款知名播放器軟件、視頻網站客戶端、常見的工具軟件在內的50余款用戶量千萬級別的電腦軟件遭遇大規模網頁掛馬攻擊。

攻擊者將攻擊代碼通過某廣告聯盟的系統主動分發帶毒頁面，而這個帶毒頁面被內嵌在50余款千萬級別用戶群的常用軟件中，這些用戶的電腦一開機會主動連網下載廣告資源，電腦會因此下載若干個病毒，其中就包括挖礦病毒。騰訊電腦管家當天攔截超過20萬次病毒下載。

此外，騰訊御見威脅情報中心還監測到一款挖礦病毒感染量異常增高，經病毒溯源分析發現，受害者電腦上的挖礦木馬均來自某些打著“人體藝術”旗號的色情網站。

當網民瀏覽這些網站時，由于部分系統存在Flash高危安全漏洞，打開網頁會立刻中毒。之后，受害者電腦便會運行挖礦代碼，電腦淪為一名礦工。攻擊者會控制大量礦工電腦集中算力挖礦，并以此牟利。

（3）入侵控制企業服務器，組建僵尸網絡云上挖礦

隨著各種數字加密貨幣的挖礦難度越來越大，通過普通用戶的個人電腦難以實現利益最大化。而實施短時間內的大范圍挖礦，除了網頁掛馬，最普遍的作法就是控制肉雞電腦組建僵尸網絡挖礦。服務器性能強、24小時在線的特征，吸引更多不法礦工將攻擊目標轉向企業、政府機構、事業單位的服務器實現云上挖礦。

騰訊御見威脅情報中心曾發現一個感染量驚人的“PhotoMiner木馬”，通過入侵感染FTP服務器和SMB服務器暴力破解來擴大傳播范圍。查詢木馬控制的門羅幣錢包地址，發現該木馬控制肉雞電腦挖到8萬枚門羅幣，挖礦累計收益達到驚人的8900萬人民幣，是名副其實的“黃金礦工”。

騰訊安全云鼎實驗室通過對DNS請求的礦池地址進行統計和歸類，發現云上挖礦幣種主要是XMR（門羅幣）、以太幣（ETH）和ETN（以利幣）。對云主機服務器上挖礦木馬最常連接的礦池地址進行了統計，發現xmr.pool.minergate.com使用頻率最高。

其中部分在國內流行的挖礦木馬使用了自建礦池的方式進行挖礦，這主要是出于使用第三方礦池，第三方礦池會收取一定的手續費，而使用自建礦池的方式可以減少這些不必要的費用支出。

通過對數字貨幣的價格走勢和挖礦熱度進行關聯分析，發現挖礦的熱度與幣種價格成正比關系。這也再次驗證，網絡黑產的目標就是追求利益的最大化。觀察ETN（以利幣）的價格走勢，我們可以發現從其從1月中旬開始呈下降趨勢：

而觀察其對應礦池的訪問，發現也是下降趨勢：

通過對歷史捕獲挖礦案例的分析，云上挖礦通常是一種批量入侵方式，而由于其批量入侵的特性，所以利用的也只能是通用安全問題，比如系統漏洞、服務漏洞，而最常見的是永恒之藍、Redis未授權訪問問題、Apache Struts 2漏洞導致企業Web服務器被批量入侵。

攻擊者還擅長使用挖礦木馬生成器、弱口令攻擊字典等攻擊工具入侵服務器，再大量擴散挖礦木馬。

（4）網頁挖礦：在正常網址插入挖礦代碼

由于殺毒軟件的存在，許多挖礦木馬文件一落地到用戶電腦就可能被攔截，不利于擴大挖礦規模，更多攻擊者傾向實施網頁挖礦：通過入侵存在安全漏洞的網站，在網頁中植入挖礦代碼。訪客電腦只要瀏覽器訪問到這個網頁，就會淪為礦工。

在挖礦的網站類型中，色情網站占比最高，其次是視頻網站和博客、論壇。用戶在此類網站觀看視頻、閱讀文章，停留時間較長，黑客利用這些網站進行挖礦，可以獲取較高的收益。

在礦池方面最早出現的coinhive礦池占據網頁挖礦中的最大比例，與coinhive同一平臺的authemine礦池占11%；基于coinhive建立的ppoi礦池和cryptoloot礦池分別占比21%、4%。

2.2下半年挖礦木馬的傳播趨勢

數字加密貨幣在2018年上半年持續暴跌，比特幣已從去年年底的2萬美元，跌至現在不足7000美元，“炒幣”熱似在降溫，但這并沒有影響挖礦木馬前進的腳步，畢竟挖礦木馬是靠肉雞挖礦賺錢，勿需投入物理設備，而從最近爆出的挖礦木馬事件中發現，挖礦木馬可選擇的幣種越來越多，設計越來越復雜，隱藏也越來越深，下半年的挖礦將會持續活躍，與殺毒軟件的對抗會愈演愈烈。

（1）全能型挖礦木馬產生，同時帶來多種危害

PC病毒的名字通常包含了病毒的來源、傳播路徑、目的等信息，如“Trojan.StartPage”代表這是一類鎖主頁木馬，“Backdoor.GrayBird”屬于灰鴿子后門病毒，如今在殺軟的強力打擊之下，病毒木馬“棲息地”越來越少，拓展“業務”已成為眾多病毒木馬的首要任務，挖礦木馬也不例外。

上半年出現的“Arkei Stealer”木馬，集竊密、遠控、DDoS、挖礦、盜幣于一體，可謂木馬界“全能”。下半年的挖礦木馬或將集成更多的“業務”，通過各種渠道入侵至用戶機器。

（2）隱藏技術更強，與安全軟件對抗愈加激烈

病毒發展至今，PC機上隱藏技術最強的無疑是B/Rootkit類病毒，這類木馬編寫復雜，各模塊設計精密，可直接感染磁盤引導區或系統內核，其權限視角與殺軟平行，屬于比較難清除的一類病毒。

此類病毒常用于鎖主頁及勒索，而近期發現R/Bookit技術也被應用于挖礦木馬中，使挖礦木馬的隱藏技能提升幾個檔次。下半年數字加密貨幣安全形勢依然嚴峻，挖礦木馬的隱藏對抗或將更加激烈。

3.數字劫匪“鋌而走險”攻擊交易所，半年獲利約7億美元

除了勒索病毒造成的損失，盜竊行為也同樣可對數字加密貨幣持有者造成大量損失，從數字加密貨幣誕生初期，數字加密貨幣被盜的新聞就層出不窮。目前盜取數字加密貨幣的方式大致4種：入侵交易所，入侵個人用戶，“雙花攻擊”，漏洞攻擊。

3.1數字加密貨幣交易平臺被攻擊

數字加密貨幣交易所被攻擊，僅2018年上半年就損失了約7億美元。

（1）2018年1月日本最大的數字加密貨幣交易所Coincheck被盜走價值5.34億美元的NEM（新經幣）；

（2）2018年3月7日，Binance交易鎖被入侵，此次為大規則通過釣魚獲取用戶賬號并試圖盜幣事件；

（3）2018年4月13日，印度數字加密貨幣交易所CoinSecure被438枚比特幣，疑為內部人員監守自盜；

（4）2018年6月10日，韓國數字加密貨幣交易所Coinrail被攻擊，損失超過5000萬美元；

（5）2018年6月20，韓國數字加密貨幣交易所Bithumb被黑客攻擊，價值3000萬美元的數字加密貨幣被盜，這是Bithumb第三次被黑客攻擊了。

3.2個人賬號遭入侵

（1）通過植入病毒木馬竊取錢包文件

2018年2月騰訊電腦管家發現大量利用Office公式編輯器組件漏洞（CVE-2017-11882）的攻擊樣本，通過下載并運行已被公開源碼的Pony木馬，竊取用戶比特幣錢包文件等敏感信息。

2018年3月，一款基于剪切板劫持的盜幣木馬在國內出現，該木馬使用易語言編寫，通過激活工具、下載站到達用戶機器，木馬會監視用戶剪切板，一旦發現有錢包地址，則替換為木馬的錢包地址，木馬內置30多個錢包地址，且部分錢包已經有盜取記錄。

此外，騰訊御見威脅情報中心分析發現，越來越多的病毒會嘗試劫持數字加密幣交易錢包地址，當受害者在中毒電腦上操作數字加密貨幣轉帳交易時，病毒會迅速將收款錢包地址替換為病毒指定的地址，病毒行為就如同現實中的劫匪。類似病毒在電腦網購普及時也曾經出現，病毒在交易完成的一瞬間，將受害者資金轉入自己指定的交易賬戶。

（2）內部盜取加密貨幣

2018年3月份，北京某互聯網攻擊員工利用職務便利，在公司服務器部署惡意代碼，盜取該公司100個比特幣，目前已經被依法逮捕，這是北京首例比特幣盜竊案。

3.3“雙花攻擊”

“雙花攻擊”是控制某數字加密貨幣網絡51%算力之后，對數字加密貨幣區塊鏈進行攻擊，可實現對已經交易完成的數據進行銷毀，并重新支