用户浏览器(和其他JS矿工)中Coinhive的加密货币挖掘会员计划正越来越受到网络犯罪分子的欢迎。 毫无戒心的用户访问该站点-并没有注意到他们的CPU负载急剧增加(Coinhive矿工Monero使用CryptoNight算法,该算法在内存中创建了一个大块并防止了内部并行性,因此挖掘消除了对ASIC的使用,并且在CPU)。
攻击者继续入侵网站并托管挖掘脚本。 浏览器扩展也是如此。 最近,他们
甚至在CookieScript.info脚本中也实现了CryptoLoot
挖矿器 ,该
脚本可帮助其他站点根据欧盟的要求显示有关使用cookie的警告-这是此类服务中最受欢迎的免费服务,它已被成千上万的其他站点使用,否则它们将面临欧盟最高500,000美元的罚款。
人们可能会咧嘴一笑地看着攻击者的活动:那么,用户在网站上花费的两分钟之内,他们将在其中产生多少? 在浏览器中进行短暂的挖掘仍然是此类恶意软件的主要缺点。 但是,Malwarebytes Labs的专家
指出 ,不幸的是,“挖矿僵尸网络”的所有者能够消除这一缺陷。 现在,即使用户离开了受感染的站点,他们的计算机上的挖掘仍在继续。 甚至在关闭浏览器之后。
测试是在Google Chrome浏览器中进行的。
动画显示,当您使用正常站点关闭浏览器时,CPU使用率立即下降到大约零。 但是,由于某些原因,当您关闭带有内置矿机的站点时,CPU使用率仍保持在60%以上的水平(出于变相,矿机无法正确加载处理器的最大负载)。
诀窍在于,尽管浏览器窗口可见关闭,但实际上Google Chrome不会关闭,而是保留在内存中。 该恶意软件会打开
一个不可见的 弹出式弹出 窗口 。 诚然,这是一种非常有效的技术。
弹出窗口的坐标选择为
完全隐藏在任务栏上的
时钟后面 。
窗口的坐标可能会略有不同,具体取决于受害者计算机上的屏幕分辨率,但是它位于时钟后面。 确实,有一个警告。 如果操作主题具有透明的设计主题,则在面板后面仍会稍微看到该窗口(请参阅本文开头的屏幕快照)。
安全专家在访问其中一个色情网站时偶然偶然发现了这一技巧。 激进的广告网络Ad Maven在那里工作,
绕过广告拦截器 ,进而从Amazon云中加载资源-这是绕过广告拦截器的一种方法。 尽管.wasm恶意负载本身不是直接从AWS而是从第三方托管直接加载的。
在脚本代码中,您会注意到
Coinhive采矿机文档中提到的一些功能。 例如,检查WebAssembly支持-使用此技术,浏览器可以最充分地利用计算机上安装的硬件资源。 如果不支持WebAssembly,则该矿工将切换到较慢的JavaScript版本(asm.js)。
如上所述,该矿机不会将处理器频率提高100%,而是适度地加载它以使其长时间安静地工作。
考虑到这种狡猾的恶意软件行为,很难完全依靠广告拦截器。 现在,关闭浏览器后,您仍然需要检查浏览器是否已从挂起正在运行的进程的任务栏中消失。 但是,如果图标附加在面板上,则它不应在任何地方消失。 因此,以防万一,最好在关闭浏览器后检查任务管理器中没有正在运行的进程(例如chrome.exe等)。 尽管如今许多用户根本没有关闭浏览器。 因此,最后一种方法仍然存在-不断监视处理器负载,Malwarebytes Labs的专家建议。
他们还发布了感染指标,以验证网站上没有多余的东西出现:
145.239.64.86,yourporn[.]sexy,Adult site
54.239.168.149,elthamely[.]com,Ad Maven popunder
52.85.182.32,d3iz6lralvg77g[.]cloudfront.net,Advertiser's launchpad
54.209.216.237,hatevery[.]info,Cryptomining siteCryptonight WebAssembly模块:
fd472bd04c01a13bf402775441b0224edef4c062031e292adf41e5a5897a24bc在技术上或多或少的人都不太可能被这种方式欺骗。 至少不会持续很长时间。 但是,有大量用户对浏览器中的加密矿工一无所知,因此这种恶意软件可能会变得非常流行。