网上冲浪请小心CoinHive JavaScript矿工恶意软件

  • A+
所属分类:网络安全新闻

Crooks利用替代方案挖掘加密货币,他们不会将CoinHive JavaScript矿工直接注入受感染的网站。
MalwareLabs的安全研究人员发现了一个新的加密挖掘活动,利用替代方案挖掘加密货币,与其他活动不同,骗子不直接在受感染的网站上注入CoinHive JavaScript矿工。

网上冲浪请小心CoinHive JavaScript矿工恶意软件

CoinHive还提供“URL缩短”服务,允许用户为任何URL创建短链接,与类似服务的独特区别在于它引入延迟,以便在重定向用户之前可以在一段时间内挖掘Monero加密货币到原始网址。

重定向时间可通过Coinhive的设置进行调整,这意味着攻击者可以强制访问者的Web浏览器更长时间地挖掘加密货币。

Malwarebytes的专家发现,大量合法网站被骗子攻击,通过隐藏的HTML iFrame加载使用CoinHive服务生成的短网址。有了这个技巧,攻击者的目标是迫使访问者的浏览器挖掘加密货币。

“我们检测到了数百个新域名,所有合法网站都注入了十六进制代码。解码后,它显示为cnhv [。] co / 3h2b2的不可见iframe(1×1像素)。我们相信它是 5月底Sucuri人们在同一个活动中的一部分 。“阅读Malwarebytes 发布的分析。

域名用于 Coinhive 所谓的 短链接,实质上是一种通过使访问者的浏览器在到达其目标站点之前解决一定数量的哈希值来实现超链接货币化的方式。单击此类链接时,您将看到一个进度条,在几秒钟内,您将被重定向。骗子通过将这些短链接加载为具有不合理的高哈希计数的隐藏iframe 来滥用此功能。“

这种挖掘方案在威胁领域是一个新奇事物,因为它没有利用在受感染网站上注入CoinHive的JavaScript。

Malwarebytes专家将最后一次活动与Sucuri研究人员在5月份监测的活动联系起来。

攻击者将一个混淆的javascript代码添加到受感染的网站中,此代码用于在网页浏览器加载后立即动态地将不可见的iframe(1×1像素)注入网页。

然后,网页自动开始挖掘,直到Coinhive短链接服务将用户重定向到原始URL。

我们通过更改其尺寸使iframe可见,以显示在重定向之前不会等待几秒钟,用户将在不知不觉中进行挖掘,只要它们停留在页面上。”继续Malwarebytes的分析。
“事实上,虽然Coinhive的默认设置设置为1024个哈希值,但在加载目标URL之前,这个设置需要3,712,000个哈希值。”
专家还发现,网络犯罪分子正在向其他被入侵的网站注入超链接,以诱骗受害者下载加密货币矿工,用于伪装成合法软件的台式机。

“在这次活动中,我们看到基础设施用于将XMRig矿工推向用户,诱使他们下载他们在网上搜索的文件,”研究人员继续说道。

“与此同时,黑客服务器被指示下载并运行一名Linux矿工,为肇事者带来利润,但却给他们的主人带来了成本。”

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: