说起霉霉Taylor Swift大家都不陌生，毕竟不到30岁就收获了Billboard的年度女性奖。可是太出名也不是什么好事，最近一个加密货币挖矿僵尸网络的运营商就盯上了霉霉，利用霉霉的照片（JPEG格式）来隐藏其发送给受感染电脑的恶意软件有效负载。

该僵尸网络的名字是MyKingz，也被称为Smominru、DarkCloud或Hexmen，取决于你看的是哪家网络安全公司的报告。

MyKingz僵尸网络的前世今生

MyKingz僵尸网络是2017年2月左右出现的大型僵尸网络，通过扫描互联网上1433 及其他多个端口渗透进入受害者主机，然后传播包括 DDoS、Proxy、RAT（远程控制木马）、Miner（挖矿木马）在内的多种不同用途的恶意代码。从被发现那天起，MyKingz僵尸网络就一直是市场上最大的加密采矿恶意软件。

MyKingz背后的组织主要致力于感染Windows系统，成功感染后就会在Windows系统上安装各种加密货币挖掘应用程序，并以此来获利。

MyKingz背后的组织也是EternalBlue漏洞（EternalBlue（CVE-2017-0144）原本来自美国国家安全局（NSA），在2017年4份被黑客组织“Shadow Brokers”公开披露，并在WannaCry、Petya、NotPetya以及其他一些恶意软件的传播中被利用）的忠实拥护者，因为MyKingz主要利用EternalBlue感染运行Windows系统的计算机，来部署一个针对门罗币（Monero）进行挖掘的加密货币挖矿恶意软件。

该僵尸网络的发展非常迅速，在MyKingz诞生的头几个月里，它就感染了超过525,000个Windows系统，为其创造者开采了价值超过230万美元的门罗币（XMR）。

研究人员还指出，受感染的计算机或者服务器分布在世界各地，其中俄罗斯、印度和中国台湾的感染率最高。

在深入研究之后，研究人员还发现，网络犯罪分子至少使用了25台设备来扫描整个互联网，以找出那些存在漏洞的且Windows系统的设备。它们大部分都利用了EternalBlue来发起攻击，并通过感染新的节点来扩充僵尸网络的大小。

尽管有些人认为该僵尸网络自2018年初就已经消失了，但Guardicore和Carbon Black在今年夏天发布的报告显示，该僵尸网络仍然非常活跃，每天大约有4700台计算机被感染。

霉霉的照片

总部位于英国的安全公司Sophos在本月发现了该僵尸网络的新动态，虽然这个新动态并不严重，而且还有点搞笑。

由于MyKingz的Internet扫描模块可以识别易受攻击的主机并在受感染的计算机上立足，因此，他们需要一种在被入侵的系统上部署各种恶意软件有效载荷的方法。所以他们另辟蹊径，将恶意EXE隐藏在流行歌手Taylor Swift的JPEG照片内。

使用此技术的目的是欺骗在企业网络上运行的安全软件，这些安全产品将只会让主机系统下载普通的JPEG文件，而不会让其下载危险的EXE文件。

不过MyKingz绝不是利用名人照片的恶意软件团伙。去年，另一个恶意软件团伙使用神奇女侠斯嘉丽的照片在被黑的PostgreSQL数据库上部署了恶意软件。

不过最近，恶意软件组织也渐渐抛弃了照片，转而尝试使用其它文件格式进行基于隐写术的攻击，例如WAV音频文件。虽然发现MyKingz组织使用霉霉的照片，但这并非真正的问题。

真正的问题是，在过去的两年中，MyKingz被证明是对Windows计算机和企业网络的最大威胁之一，所以该僵尸网络很可能会破坏任何未打补丁或端口未保护的系统。