Coinhive迅速成为最受恶意软件开发者喜欢的“门罗币收割机”

前情提要

Coinhive是一个提供恶意JS脚本的网站平台(https://coin-hive[.]com),允许攻击者将脚本挂在到自己的或入侵的网站上,所有访问该网站的用户都可能成为门罗币的挖掘矿工。该工具在网络犯罪分子中间迅速扩散,俨然已经成为了互联网的“Martin Shkreli”。

*注释:2015年12月,有“互联网坏蛋”之称的马丁·什克雷利(Martin Shkreli)被联邦政府指控涉嫌证券欺诈,由FBI逮捕,案件于今年8月份宣判,他曾经因哄抬达拉匹林(一种药物)的物价而臭名昭著(从每片13.5美元,提高到750美元),被公众评为“美国最可恨的人”。

Coinhive工具其实是一个JavaScript库,用户访问加载该JS的网站后,Coinhive的JS代码库在用户的浏览器上运行,开始为网站所有者挖掘门罗币,消耗的是用户自己的CPU资源。

Coinhive的LOGO及官网简介

不得不说,这个想法相当地有创意!Coinhive于9月14日推出,作者向站长们推广Coinhive时声称,站长们加载了Coinhive JS就可以实现盈利:它仅耗费访问用户的少部分CPU,就可以为网站所有者赚取利润,用于支持他们的业务,再也不用添加各种烦人的广告了。

这一想法获得了某些人的支持,在The Pirate Bay(全球知名的BT下载网站)试运行了两天后,由于用户的负面反馈,最后放弃了。

Coinhive被滥用

不幸的是,尽管Coinhive设计的门罗币矿工的想法很巧妙,但骗子们的思维是无限的,很快的Coinhive就被滥用了。

推出后仅几天的时间,Coinhive就已经蔓延到恶意软件社区的几乎所有角落。

首先,研究人员发现它被嵌入到一个流行的名为“SafeBrowse”的Chrome扩展中, Chrome后台执行Coinhive代码,只要浏览器运行,就会一直挖掘门罗币。

Windows任务管理器显示的cryptojacking操作

然后,我们观察到Coinhive被嵌入到一些经过专门伪造的域名的站点。例如有人注册了twitter.com.com的域名,站点的页面上加载了Coinhive的 JS库。用户输入这个错误的twitter URL或被诱骗至此站点时,就会开始为网站所有者挖掘门罗币。

如果用户意识到自己打开了一个有问题的页面,并即使关闭浏览器的话,会阻断这种攻击。但即使只持续几秒钟,也足以让网站的所有者获得利润。随着时间的推移、攻击者控制越来越多的域名,站点所有者将获得更多的利润。

之后,事情一发不可收拾,大量的网站被黑客入侵并修改了网站的源代码,偷偷加载了Coinhive JS挖矿脚本。

黑客通过一些自定义的配置,利用访问过被入侵的网站用户(多数是不知情的)的CPU为自己挖掘门罗币,根据观察发现,黑客偏向于入侵WordPress和Magento的站点。

此外,趋势科技的安全专家们还发现了一个大型的恶意广告团伙EITest广泛的部署Coinhive脚本。攻击者通过恶意的广告将用户重定向到技术支持诈骗网页,其中除了传统的伪造病毒警告外,诈骗者们还在受害者的浏览器上加载Coinhive JS 门罗币挖矿脚本,详情参见《“利”字当头:EITest团伙转型技术支持诈骗,大肆传播门罗币挖矿工具

EITest活动中Coinhive JS脚本的注入过程和对受害者系统的影响

Showtime网站被挂载了Coinhive JS门罗币挖掘脚本

假冒java更新传播Coinhive JS门罗币挖掘脚本

 

研究人员戏称:现在,Coinhive已经无处无在了。

事情发展到现在已经很清楚了,恶意软件作者们在Coinhive中嗅出了金钱的味道,接下来,研究人员们在各种恶意广告(尤其是搜索劫持和搜索结果中国年插入广告)中见到了Coinhive的部署。

恶意广告已经非常烦人了因为它直接修改了用户的浏览器,而现在没有什么可以阻止恶意广告软件开发者从后台加载Coinhive脚本库了,他们用尽一切可能让用户替他们挖掘门罗币,哪怕只是一丁点儿的收益,知道用户意识到感染了恶意广告、修改了浏览器主页或明显不合理的CPU消耗。

尽管Coinhive团队已经说的很清楚了,包括如何负责任的把JS库布萨湖岛个人计算机上(如设置合理的参数等),但恶意软件开发者罔顾这些遵守规章制度,有的攻击者不加限制,大量消耗受害者主机的CPU导致无法正常使用。

针对企业网络的加密货币挖掘攻击(附)

两周前,卡巴斯基发布报告称在今年的前8个月,已经观测到超过165万台计算机感染了加密货币采矿恶意软件,IBM的X-Force称针对企业网络的加密货币恶意软件工具在过去的8个月里增涨了6倍。,借以获取更高的利润。

攻击者通过钓鱼电子邮件的方式“广泛的入侵脆弱的企业系统(如WordPress、Joomla CMS平台和JBoss服务器),然后通过命令行的方式安装cryptocurrency挖掘工具“。

这些加密货币挖矿工具被隐藏在一个虚假的图像文件中(网络攻击常见的隐写术),托管在被攻陷的运行Joomla或WordPress网站服务器,或存储在被入侵的JBoss应用服务器上。

IBM的专家们还在一个Mirai IoT僵尸网络中发现分发加密货币挖掘工具的案例。

安全社区对Cryptojacking的反击

目前,有专家将劫持用户的浏览器用于挖掘加密货币的技术称为“cryptojacking”。

有人还预测Coinhive cryptojacking最终会失败。目前至少有两个广告拦截器已经增加对Coinhive JS库的阻塞,它们是AdBlock Plus和AdGuard。

此外,开发人员还专门开发了用于扫描和终止浏览器端疑是Coinhive矿工脚本的插件,如AntiMiner、No Coin 和 minerBlock。

在2017年的信息安全历史记事簿上,可能会出现WannaCry 和 NotPetya勒索的爆发以及CCleaner和Equifax安全事件,但毫无疑问的,相对较为隐蔽的加密货币矿工工具已成为最活跃、最普遍的威胁。

目前来看,Coinhive的发展已经超出了Coinhive团队的预期和控制,即使原来的开发者有良好的意图,但安装目前恶意软件作者无节制的滥用的趋势,Coinhive的名字和声誉必然会蒙上污垢。

相关资料

https://en[.]wikipedia[.]org/wiki/Martin_Shkreli

原创文章,作者:猫小编,如若转载,请注明出处:http://www.mottoin.com/106107.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code