黑客感染网站与隐秘挖矿
黑客已感染超过3500个网站,植入隐秘的加密挖矿脚本,悄然劫持访客的浏览器以生成Monero,这是一种旨在使交易更难追踪的隐私币。这种恶意软件并不窃取密码或锁定文件,而是悄悄将访客的浏览器转变为Monero挖矿引擎,在未获得用户同意的情况下抽取少量的处理能力。
加密劫持的演变
此活动截至目前仍在进行中,最早由网络安全公司c/side的研究人员发现。c/side在周五披露:“通过限制CPU使用率并将流量隐藏在WebSocket流中,它避免了传统加密劫持的明显迹象。”
加密劫持(cryptojacking)是指未经授权使用他人设备进行加密货币挖矿,通常是在设备所有者不知情的情况下进行的。
这一策略首次在2017年底引起广泛关注,当时Coinhive的崛起使其短暂主导了加密劫持领域,直到2019年被关闭。尽管在同一年,关于其普遍性的报告出现了矛盾,有些人告诉Decrypt说它并未恢复到“之前的水平”,尽管一些威胁研究实验室确认当时的增长率为29%。
隐秘挖矿的再度崛起
五年多后,这一策略似乎正在悄然卷土重来:从嘈杂、占用CPU资源的脚本重新配置为低调的隐秘挖矿程序。如今的活动悄然传播到数千个网站,遵循新的策略,正如c/side所言,旨在“保持低调,缓慢挖矿”。
根据一位熟悉该活动的信息安全研究人员的说法,这一策略的转变并非偶然。该组织似乎在重用旧基础设施,以优先考虑长期访问和被动收入。Decrypt被告知:“这些组织很可能已经控制了数千个被黑的WordPress网站和电子商务商店,这些都是过去Magecart活动的结果。”
Magecart活动是黑客将恶意代码注入在线结账页面以窃取支付信息的攻击。
研究人员表示:“植入挖矿程序非常简单,他们只需添加一个加载混淆JavaScript的脚本,重新利用现有的访问权限。”但研究人员指出,令人瞩目的是该活动的隐秘运作方式,使其难以通过旧方法检测到。
新技术的应用
“过去,加密劫持脚本的检测方式之一是通过其高CPU使用率,”Decrypt被告知。“这一新波浪通过使用限制CPU使用率的WebAssembly挖矿程序来避免这一点,保持在雷达下,并通过WebSockets进行通信。”
WebAssembly使代码能够在浏览器中更快地运行,而WebSockets则保持与服务器的持续连接。两者结合,使得加密挖矿程序能够在不引起注意的情况下工作。
风险并不在于“直接针对加密用户,因为该脚本并不会耗尽钱包,尽管从技术上讲,他们可以将钱包耗尽程序添加到有效载荷中,”这位匿名研究人员告诉Decrypt。“真正的目标是服务器和网络应用程序的所有者,”他们补充道。
