从公众WI-FI到网站,从PC端到手机端,不管是网站,app,微信小程序还是浏览器插件,都有可能被植入一段恶意的挖矿代码,强制让你的电脑手机的CPU满负载地为他们工作,给他们挖矿,不断地拖慢你手机电脑的运行速度。但是挖矿的收入却一份不少地流入了他们的口袋。
星巴克公共Wi-Fi里藏着挖矿代码
一家软件公司的CEO, Noah Dinkin最近 在个人Twitter上爆料 ,阿根廷首都有家星巴克咖啡馆,店内免费Wi-Fi服务,竟然隐藏了一段挖矿代码。每当顾客电脑开始连上店内Wi-Fi时,会强迫网页等待10秒,让顾客误以为还在连线登入中,而趁机暗中执行挖矿程式来赚钱。 而且,他还在推特里发出了他从Wi-Fi连线网页源代码看到的Coinhive的网址,来证明他所言不假。
Coinhive是个什么鬼
Coinhive是一个提供恶意JS脚本的网站平台(https://coin-hive[.]com),允许攻击者将脚本挂在到自己的或入侵的网站上,所有访问该网站的用户都可能成为门罗币的挖掘矿工。
Coinhive工具其实是一个Java库,用户访问加载该JS的网站后,Coinhive的JS代码库在用户的浏览器上运行,开始为网站所有者挖掘门罗币,消耗的是用户自己的CPU资源。
Coinhive的LOGO及官网简介
不得不说,这个想法相当的有创意:
它仅耗费访问用户的少部分CPU,就可以为网站所有者赚取利润,用于支持他们的业务,再也不用添加各种烦人的广告了。
然而。。。
被恶意软件滥用
尽管Coinhive设计的门罗币矿工的想法很巧妙,但骗子们的思维是无限的,很快的Coinhive就被滥用了。推出后仅几天的时间,Coinhive就已经蔓延到恶意软件社区的几乎所有角落。
首先,研究人员发现它被嵌入到一个流行的名为“SafeBrowse”的Chrome扩展中, Chrome后台执行Coinhive代码,只要浏览器运行,就会一直挖掘门罗币。
Windows任务管理器显示的cryptojacking操作
然后,他们观察到Coinhive被嵌入到一些经过专门伪造的域名的站点。例如有人注册了twitter.com.com的域名,站点的页面上加载了Coinhive的 JS库。用户输入这个错误的twitter URL或被诱骗至此站点时,就会开始为网站所有者挖掘门罗币。
如果用户意识到自己打开了一个有问题的页面,并即使关闭浏览器的话,会阻断这种攻击。但即使只持续几秒钟,也足以让网站的所有者获得利润。随着时间的推移、攻击者控制越来越多的域名,站点所有者将获得更多的利润。
之后,事情一发不可收拾,大量的网站被黑客入侵并修改了网站的源代码,偷偷加载了Coinhive JS挖矿脚本。黑客通过一些自定义的配置,利用访问过被入侵的网站用户(多数是不知情的)的CPU为自己挖掘门罗币,根据观察发现,黑客偏向于入侵WordPress和Magento的站点。
Showtime网站被挂载了Coinhive JS门罗币挖掘脚本
Coinhive已经无处无在了
尽管JS挖矿的效率只有不到桌面软件的60-70%,然而,JS又一个最大的好处,就是体量小,适用范围广。任何地方。任何一种方式都可以。
普通的网站,网页,chrome的插件,App的webview, 甚至于微信小程序都具备放置这样的代码的条件。而公共的Wi-Fi,DNS污染,路由器的入侵,后台代码的植入等等等等,攻击方法也覆盖了基本上现有的所有入侵方式。
安全社区对Cryptojacking的反击
目前,有专家将劫持用户的浏览器用于挖掘加密货币的技术称为“cryptojacking”。目前至少有两个广告拦截器已经增加对Coinhive JS库的阻塞,它们是AdBlock Plus和AdGuard。此外,开发人员还专门开发了用于扫描和终止浏览器端疑是Coinhive矿工脚本的插件,如AntiMiner、No Coin 和 minerBlock。
在2017年的信息安全历史记事簿上,可能会出现WannaCry 和 NotPetya勒索的爆发以及CCleaner和Equifax安全事件,但毫无疑问的,相对较为隐蔽的加密货币矿工工具已成为最活跃、最普遍的威胁。
目前来看,Coinhive的发展已经超出了Coinhive团队的预期和控制,即使原来的开发者有良好的意图,但安装目前恶意软件作者无节制的滥用的趋势,Coinhive的名字和声誉必然会蒙上污垢。
中国被挖码的网站
截止小编发稿的日子(2017.12.16),中国被挂代码的网站并不多,仅仅只有10家网站。但是app,微信小程序,chrome插件,公共Wi-Fi,DNS污染等等其他方式,也就不得而知了。
返回搜狐,查看更多
责任编辑:
