黑客已运用秘密加密挖掘脚本感染了超过3,500个网站。这些脚本悄悄劫持了访问者的浏览器,利用其计算能力来生成门罗币,一种注重隐私的加密货币,旨在使交易更难追踪。
该恶意软件不会窃取密码或锁定文件。相反,它会悄悄地将访问者的浏览器变成门罗币矿业引擎,在未经用户同意的情况下窃取少量处理能力。
截至撰写本文时,该活动仍在进行中,最早是由网络安全公司 c/side 的研究人员发现的。
“通过限制 CPU 使用率并隐藏 WebSocket 流中的流量,它避免了传统加密劫持的迹象,”c/side披露 星期五。
加密劫持,有时拼写为一个词,是指未经授权使用某人的设备挖掘加密货币,通常是在所有者不知情的情况下。
这种策略在 2017 年末随着 Coinhive 的兴起而首次引起主流关注,Coinhive 是一家现已停业的服务,在被关闭在2019年。
同年,关于其患病率已成为冲突的,有一些说明解密尽管一些威胁研究实验室确认的当时上涨了29%。
“保持低调,缓慢开采”五年多过去了,这种策略似乎正在悄然卷土重来:从嘈杂、占用大量 CPU 的脚本重新配置为专为隐身和持久性而构建的低调矿工。
如今的攻击活动并没有烧毁设备,而是悄悄地蔓延到数千个站点,遵循了新的策略,正如 c/side 所说,其目标是“保持低调,缓慢挖掘”。
一位熟悉该活动的信息安全研究人员表示,这种策略的转变并非偶然。解密不愿透露姓名。
该组织似乎正在重复使用旧的基础设施,以优先考虑长期访问和被动收入,解密被告知。
研究人员表示:“这些组织很可能已经控制了过去 Magecart 活动中被黑客入侵的数千个 WordPress 网站和电子商务商店。”解密.
Magecart 活动是黑客向在线结账页面注入恶意代码以窃取支付信息的攻击。
研究人员说:“植入矿工很简单,他们只需添加一个脚本来加载混淆的 JS,重新利用现有的访问权限。”
但研究人员表示,引人注目的是,该活动运作得非常悄无声息,很难用老方法检测到。
“过去检测加密劫持脚本的方法之一是检测其高 CPU 使用率,”解密被告知。“这一波新攻击通过使用受限制的 WebAssembly 矿工来避免这种情况,这些矿工保持低调,限制 CPU 使用率并通过 WebSockets 进行通信。”
WebAssembly 使代码在浏览器中运行速度更快,而 WebSocket 则能够与服务器保持持续连接。两者结合,使得加密货币矿工能够在不引起注意的情况下进行工作。
这位匿名研究人员表示,风险并非“直接针对加密货币用户,因为该脚本不会耗尽钱包,尽管从技术上讲,他们可以在有效载荷中添加钱包耗尽程序”。解密。“真正的目标是服务器和网络应用程序所有者,”他们补充道。