标签: CoinHive

将近 5 万家网站被感染挖矿劫持脚本 其中八成是 Coinhive

来自 Bad Packets Report 的安全研究专家 Troy Mursch 指出,全球范围内将近 5 万家网站悄然被挖矿劫持版本感染。依靠开源搜索引擎 PublicWWW 的扫描,Mursch 发现至少存在 48,953 家受感染网站,其中至少 7368 家网站基于 WordPress。 研究人员表示,将近 4 万家网站都感染了名为 Coinhive 的挖矿劫持脚本,占比达到了 81%。此外他还指出至少 3 万家网站在去年 11 月开始就已经感染 Coinhive。 而其他 19% 网站大多感染了 Coinhive 的同类脚本,例如 Crypto-Loot, CoinImp, Minr 和 deepMiner。根据进一步的调查,在本次扫描结果中有 2057 家网站感染了 Crypto-Loot,有 4119 家网站感染了 CoinImp, 有 692 家网站感染了 Minr 以及有 2160 家网站感染了 deepMiner。 稿源:cnBeta,封面源自网络;

“洛杉矶时报”也躺枪:网站托管恶意脚本利用访客 CPU 秘密挖掘门罗币

据外媒报道,Bad Packets 报告公司的安全研究员 Troy Mursch 于近日发现,美国第三大报纸 “ 洛杉矶时报 ” 的网页上托管了加密挖掘软件,旨在利用访客的 CPU 挖掘门罗币。 根据 Troy Mursch 的说法,攻击者利用一个不恰当配置的 Amazon Web Services (AWS) S3 云存储桶来访问该网站,并将 Coinhive 软件脚本注入到程序中 。不过奇怪的是,受影响的网页是一个有关凶杀报告的页面,报道了过去 12 个月中在洛杉矶遇害的人。 根据一些数据统计,Coinhive 可能会影响全球四分之一的组织。当用户访问网页时, Coinhive 会对门罗币进行在线挖掘。嵌入的 JavaScript 使用终端用户机器的计算资源来挖掘硬币,从而影响系统性能。虽然 Coinhive 是一个合法的服务,为网站管理员寻找一种可替代广告的盈利模式,但是犯罪分子通常会在网站未知的情况下将 Coinhive 嵌入其中,而某些不道德的网站则会在访客不知情的情况下秘密使用 Coinhive。 在这种模式下,脚本一般被设置为以非最高级别开采,从而消耗较少的计算能力,并可能做到长达两周不被发现 。 AttackIQ 首席营收官 Carl Wright 认为,目前云配置错误事件频出,许多企业的攻击面也大大扩展 ,再加上没有统一的安全控制和流程保证,因此企业更需要攻击者不断测试其安全控制措施是否存在配置错误。如果企业在这个阶段没有持续验证他们的安全控制,那么很可能将会造成惨痛的失败。 消息来源:infosecurity,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

调查显示 49% 的加密挖矿脚本部署在色情网站上

外媒 2 月 12 日消息,安全专家近年来发现加密挖矿脚本的数量不断增加,尤其是那些通过在线黑客服务器非法部署的脚本。目前初步统计,大约 49% 的加密挖矿脚本部署在相关色情网站上。  据悉,安全专家在其 DNSMon 系统上通过 DNS 流量在线分析加密挖掘脚本,以确定哪些网站从域名中(这些域名与浏览器内的挖掘服务相关联)加载了该脚本。 研究表明,约 49% 的加密挖掘脚本部署在相关色情网站上。其实这一结果并不意外,因为访问者会花费大量时间来观看网站上的内容,从而间接带给攻击者一定的利用空间。当然这些挖掘脚本也部署在一些欺诈网站(占 8%)、广告领域(7%)以及采矿业务(7%)上。不仅如此,研究还显示最常用的加密挖掘脚本是 Coinhive(68%+ 10%),其次是 JSEcoin(9%)。 △ 挖矿网站 TOP 10  △ 上图显示了采矿地点的 DNS 流量趋势 以下是大多数采矿活动新参与者的分类: — 广告商 :一些网站的采矿活动是由广告商的外部链引入的。 — Shell 链接 :某些网站将使用 “ Shell 链接 ” 来隐藏源代码中的挖掘站点链接。 — 短域名服务提供商 :goobo.com.br 是个短域名服务商,该网站主页、包括其生成的短域名在被访问时都会加载 coinhive 的链接进行挖矿。 — 供应链污染 :www.midijs.net 是一个基于 JS 的 MIDI 文件播放器,在网站源代码中使用了coinhive 进行挖矿。 — 自建矿池 : 有人在 github 开放的源代码可用于自建矿池。 — 用户自主的 Web 挖矿 :authedmine.com 是一个正在兴起的采矿网站。该网站声称,只有已知和授权的用户才能进行挖矿活动。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

黑莓手机官网感染 Coinhive 虚拟货币挖矿脚本

外媒 1 月 9 日消息, 一位绰号为 “ Rundvleeskroket ” 的 Reddit 用户于 6 日声称黑莓手机官网(blackberrymobile.com)被攻击者利用,通过 Coinhive 货币挖矿工具挖掘 Monero(门罗币) 。根据 Coinhive 的说法该网站遭入侵是因为 Magento 电子商务软件存在安全漏洞。 调查显示,似乎只有全球网站受到 coinhive 挖矿工具的影响,其加拿大、欧盟、美国等地区的用户不在涉及范围内。 Reddit 用户分享的屏幕截图 目前黑莓手机官网已删除了 Coinhive 工具代码,但此类事件愈演愈烈情形不容乐观: 去年 11 月份,专家报告称相同的攻击者加载伪装成假 jQuery 和 Google Analytics JavaScript 文件的恶意脚本,这些文件实际上是 Coinhive 浏览器内加密货币矿工的副本。截至 11 月 22 日,据专家统计共有 1,833 个网站被攻击。 12 月份,Sucuri 的专家发现近 5,500 个 WordPress 网站感染恶意脚本。研究显示该恶意脚本能够记录击键信息,并在访问者的浏览器中加载了一个秘密工作的虚拟货币挖矿工具。同月,星巴克某店 Wifi 被爆遭黑客利用蹭网用户电脑进行挖矿。 Coinhive 工具官方在发现了同一个 Coinhive 帐户被许多其他网站所使用后,对该账户进行了封禁操作。此外,Coinhive 因其服务被滥用向用户表达了歉意。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

赛门铁克:加密货币大涨,更多网站被黑客植入挖矿代码

近年来,随着加密货币的价格被不断炒高,黑客们也动起了歪脑筋来获利。根据赛门铁克今日发布的一份报告,公共网站被黑客挂上挖矿脚本的情况有变得更加严重的趋势。一旦运行,这些脚本会导致访客机器的 CPU 资源被长时间大量占用。而与传统恶意软件相比,加密货币显然更有赚头。通常情况下,反病毒工具会识别并阻止类似的程序。据此,赛门铁克得以描绘出一张有关恶意挖矿脚本的 “ 全球攻势图 ”。 据赛门铁克所述,最近几周,挖矿程序有着愈演愈烈的趋势。这些脚本大多与门罗币(Menero)相关 —— 因其算法对 CPU “ 更加友好 ” 一些 —— 而不是比特币(Bitcoin)或以太坊(Ethereum)。 仅在 11 月下旬,该公司就日常检测并清除了 300 万次,当时门罗币的价格刚开始升到 200 美金以上。但截至 12 月 16 日,这款数字货币已经涨到了 350 美元。 价格走势方面,数字货币大多向“老大”比特币看齐。而最受黑客青睐的后台挖矿脚本,就是今年 9 月份冒头的 Coinhive 。 虽然许多安全企业迅速将它压了下去,但 Coinhive 的官网并未消失,而是换了个“选择加入”的门头。此外赛门铁克的研究显示,原来的插件依然活跃。 由于加密货币的开采性质,这款插件可以在后台运行很长一段时间。为了获取更多的收益,黑客们最喜欢找流媒体站点下手。但在很多情况下,网站的拥有者并不知情。 今年 9 月的时候,外媒报道了两家后台被植入 Coinhive 的直播间,甚至还有以 “ Chrome 浏览器扩展 ” 的形式出现。此外盗版网站为了有目的性地增加收入,也会短暂地安装挖矿程序。 更糟糕的是,黑客们来移动设备都没有放过。赛门铁克已经发现了许多带有挖矿脚本的 Android App —— 尽管受 CPU 性能所限,移动设备挖矿的效率并不高。 2017 年以来,赛门铁克已经发现了 35 款不同的 Android 挖矿应用,较去年增长了 34% 。 稿源:cnBeta,封面源自网络;编辑:榆榆

即使关闭浏览窗口,某些基于浏览器的挖矿软件还会偷偷运行

目前浏览器制造商正在为浏览器增加更多的功能,并为浏览器提供更多硬件访问。  Google 甚至还基于 Web 浏览器创建了一个完整的操作系统。而现在,恶意软件作者正在争先恐后地利用这些功能。目前更狡猾的是一款基于浏览器的挖矿软件在用户关闭浏览器的情况下,还利用用户的硬件挖掘数字货币。 安全研究人员发现了一个基于 Javascript 的专门针对加密货币的挖掘程序Coinhive。使用 Javascript,Coinhive 能够将代码隐藏到网站中,并使用浏览器打开一个微小窗口隐藏在用户电脑系统状态栏下方,访问电脑硬件来开始挖掘,它会加速受害者用户电脑 CPU 老化,并减慢用户系统运行速度。 好消息是,现在至少用户可以很容易地解决和避免这种问题。当用户关闭浏览器之后,转到 Windows 任务管理器,并检查是否仍然有任何浏览器进程,并且强制结束这些浏览器进程,然后尽量避免访问可疑的网站。 稿源:cnBeta.com, 封面源自网络;编辑:FOX

逾 5 亿用户电脑曾执行网站 JS 采矿脚本,秘密挖掘加密货币

9 月中旬,海盗湾被曝在网站添加了一个由 Coinhive 网站提供的 Javascript 比特币挖掘脚本,即采用加密方式注入用户电脑挖掘比特币后增加 CPU 使用率。据悉,由于该攻击手段导致流量运行迅速,因此海盗湾每月可能获益 12000 美元。不过,部分用户在发现后立即开始禁用 Javascript 程序,以防网络犯罪分子再次侵害。 网络安全公司 Adguard 于近期发表一份研究报告,指出逾 220 家热门网站运营者早期就已经从 CoelHive 寻找到加密货币 Monero 的采矿脚本,并通过用户电脑进行试验挖掘加密货币,从而获取巨额收益。据悉,目前共有 5 亿用户在不知情下运行 JS 脚本、挖掘加密货币。 CoinHive 是目前最受欢迎的 JS 挖矿引擎。安全专家表示,上述攻击手段主要是网站运营商在其网页内嵌入一段 JS 代码,只要用户访问,挖矿程序就会在网民的电脑中运行,从而占据大量系统资源,导致 CPU 利用率突然提升。 目前,Adguard 安全专家估计,这些网站几乎不需要花费太多资金就能够完成此类攻击。其中,Torrent 搜索网站、托管盗版内容的网域与色情网站最有可能使用矿工挖掘加密货币。因为这些网站一般很难通过广告获益,所以他们更愿意采取其他创新方式赚钱资金。 CoinHive 网站最近引起广大媒体关注后发表声明:“公司并不知道我们的客户没有经过用户的同意擅自运行加密脚本,我们感到非常难过。不过,我们相信我们一定能在尊重用户的情况下解决此类事件。目前,希望用户能够警惕网站加密货币的采矿脚本。” 安全专家表示,加密货币挖掘的潜力如果处理得当,网站访问者没有理由不会同意此类计划,不过如果域名运营商不尊重用户私自进行,那么事情一旦被暴露,他们公司名誉将受到严重打击。目前,在此类问题解决之前,系统拦截器将会阻止 JS 程序运行。此外,网站操作人员与挖矿脚本的开发人员将会共同合作寻求解决方案,从而确保用户 CPU 安全。 相关阅读: 海盗湾于后台运行比特币矿工程序,增加用户 CPU 使用率 原作者:Charlie Osborne ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。