来自Bad Packets Report的安全研究专家Troy Mursch指出,全球范围内将近5万个网站悄然被挖矿劫持版本感染。
依靠开源搜索引擎PublicWWW的扫描,这位专家发现至少存在48,953家受感染网站,其中至少7368家网站基于WordPress。
他表示,近4万个网站都感染了名为Coinhive的挖矿劫持脚本,占比达到了81%;至少3万个网站在去年11月开始就已经感染Coinhive。
调查还显示,在本次扫描结果中有2057家网站感染了Crypto-Loot,有4119家网站感染了CoinImp, 有692家网站感染了Minr以及有2160家网站感染了deepMiner。
今年2月,有报道称数千个网站被恶意代码感染,并劫持访问网站的浏览器(PC端)偷偷挖掘数字货币,具体现象表现为:
可疑广告的网页链接通过Iframe嵌入了c.html代码,而c.html中导入的c.js为Coinhive JavaScript Miner代码。
挖矿脚本基于CryptoNight挖矿算法,主要是面向门罗币的;仅在采用Chome内核的浏览器器内运行,并通过Math.random()设置50%的启动概率。
即便用户发现电脑卡顿、CPU占用率过高,怀疑有恶意程序运行并进行确认时,挖矿环境并不一定重现。数据显示该恶意代码攻击的单日访问量近百万次,中招电脑CPU资源被占用达90%以上,直接影响系统运行。
值得一提的是,Coinhive本来是合法的工具,可以为网站开发商获得收入,作为烦人的广告的替代品,但之后被滥用。
推测黑客应该是通过改变Browsealoud等浏览器插件的源代码,隐秘地将Coinhive挖矿脚本加载了使用这些插件的网页中。
挖矿脚本可以被杀毒软件或广告拦截工具检测并终止。当用户关闭浏览器时,挖矿脚本也将停止,代码仅在标签打开时运行,本地磁盘不会受到感染。
国内外杀毒软件厂商可以藉此分享一波红利了,宣传品牌的好机会啊...
领取专属 10元无门槛券
私享最新 技术干货