Coinhive是一种流行的基于浏览器的服务,它为网站所有者提供嵌入Java script 代码,利用其网站访问者的CPU功能,以便挖掘门罗币以实现货币化。然而自2017年年中开始,网络犯罪分子一直在滥用这项服务,通过向大量被入侵的网站注入他们自己的CoinHive Java script 代码非法赚钱,最终欺骗了数百万访问者,在不被知觉的情况下挖掘了门罗币。
由于许多Web应用程序安全公司和防病毒公司现在已经更新了他们的产品以检测未经授权的CoinHive Java script 注入,网络犯罪分子现在开始滥用与CoinHive不同的服务来实现相同目标。
黑客将Coinhive短链接注入黑客网站
除了可嵌入的Java script 挖掘器之外,CoinHive还具有“URL缩短器”服务,允许用户为任何URL创建一个具有延迟的短链接,以便在用户重定向到原始URL之前可以挖掘monero加密货币。
根据Malwarebytes的安全研究人员的说法,大量合法网站被黑客攻击,在隐藏的HTML iFrame中使用CoinHive在不知不觉中加载短URL,试图强迫访问者的浏览器为攻击者挖掘加密货币。
“在过去的几周里,我们的抓取工具使用各种CMS编制了数百个网站,所有CMS都使用相同的混淆代码,这些代码使用Coinhive的短链接来执行静态驱动挖掘。”
这种未经授权的基于浏览器的挖掘方案在没有直接注入CoinHive的Java script 的情况下工作,最初是由Sucuri的研究人员于5月底发现的。
据研究人员介绍,黑客在被黑网站中添加了一个混淆的java script 代码,一旦在访问者的网络浏览器上加载,就会动态地将一个不可见的iframe(1×1像素)注入网页。由于使用隐藏的iFrame加载URL缩短器是不可见的,因此在网页上注意到它将非常困难。然后,受感染的网页会自动开始挖掘加密币,直到Coinhive短链接服务将用户重定向到原始URL。
但是,由于短链接重定向时间可通过Coinhive的设置(使用散列值)进行调整,因此攻击者会强制访问者的Web浏览器持续更久地挖掘加密货币。“事实上,虽然Coinhive的默认设置设置为1024个散列值,但在加载目标URL之前需要设置3,712,000个。”Malwarebytes的安全研究员JérômeSegura说。
此外,一旦实现了所需数量的散列数,短URL后面的链接进一步将用户重定向回同一页面,以再次尝试启动挖掘过程,站点访问者可能会误以为web页面已经刷新。
小心你的电脑变成挖矿奴隶
除了隐藏的iFrame,研究人员还发现,网络犯罪分子还向其他被黑网站注入超链接,以欺骗受害者下载恶意加密货币挖掘恶意软件,将桌面伪装成合法版本的软件。
“在这次活动中,我们看到基础设施用于将XMRig矿工推向用户,诱使他们下载他们在网上搜索的文件。与此同时,黑客服务器被指示下载并运行一名Linux操作程序,为黑客带来利润,但却给他们的所有者带来了成本。”
保护自己免受非法浏览器加密货币挖掘的最佳方法是使用浏览器扩展,例如minerBlock和No Coin,它们专门用于阻止流行的挖掘服务利用您的计算机资源。
网友评论