Guardicore的安全研究人员揭示了一种复杂的恶意软件攻击，该攻击成功地破坏了属于医疗技术行业中型公司的800多种设备。恶意软件伪装成WAV文件，并包含一个Monero挖矿软件，它利用臭名昭著的EternalBlue漏洞来危害 *** 中的设备。

这款恶意软件唯一的bug，是最终导致受感染的电脑蓝屏死亡（BSOD），并且显示相关错误代码，最终引起受害者怀疑，并引发对事件的深入调查。

研究人员表示，BSOD于10月14日首次发现，当时发生致命崩溃的机器正在尝试执行长命令行（实际上是基于base-64编码的PowerShell脚本）。对脚本进行解码后，研究人员获得了可读的Powershell脚本，该脚本用于部署恶意软件。该脚本首先检查系统架构（基于指针大小）。然后，它读取存储在上述注册表子项中的值，并使用Windows API函数WriteProcessMemory将该值加载到内存中。研究人员指出，恶意软件负载通过获取和调用函数指针委托来执行。

该恶意软件尝试使用基于EternalBlue的漏洞传播到 *** 中的其他设备，该漏洞与WannaCry于2017年使用的漏洞相同，感染了全球数千台电脑。在对恶意软件进行反向工程之后，研究人员发现该恶意软件实际上隐藏了伪装成WAV文件的Monero挖矿模块，使用CryptonightR算法来挖掘Monero虚拟货币。此外，该恶意软件利用隐写术并将其恶意模块隐藏在外观清晰的WAV文件中。”

研究人员发现，完全删除恶意软件（包括终止恶意进程）阻止了在受害设备上发生BSOD。

（稿源：cnBeta，封面源自 *** 。）