安全研究人员 特洛伊·穆斯克(Troy Mursch)近日发布了一份新报告,详细描述了 虚拟货币挖矿代码 Coinhive 悄无声息地入侵大量可信赖网站的过程。穆斯克最近发现 Coinhive 代码运行在近 400 个网站上,其中包括属于圣迭戈动物园、联想集团以及美国全国劳资关系委员会的网站。点击 这里 ,查看遭劫持的网站完整名单。
值得关注的是,这一名单中包括大量政府和教育部门的官方网站,其中包括总检察官办公室平等就业机会委员会(EEOC)、阿勒颇大学以及加州大学洛杉矶分校大气与海洋科学项目的网站。
在受影响的网站中,大部分都由亚马逊托管,而且都位于美国;穆斯克认为这些网站是因为旧版 Drupal 内容管理系统存在漏洞而面临遭攻击的威胁:
通过深入挖掘这个加密劫持行动,我发现在两种情况下,Coinhive 可以通过相同的方法被注入。恶意代码包含在“/misc/jquery.once.js?v=1.2”JavaScript 库中。此后不久,我得知使用不同有效负载的其他网站也受到攻击。但是,所有被感染的网站都指向一个使用相同 Coinhive 站点密钥的域。
一旦代码不再经过混淆处理,就会清楚地看到它提到“http://vuuwd.com/t.js”。只要访问这个网址,丑陋的真相就被揭示出来。我发现 Coinhive 代码在执行时略微被节流。
#Coinhive found on the website of the San Diego Zoo (@sandiegozoo) in the latest high-profile case of #cryptojacking. pic.twitter.com/B3rd2Q5uVA
— Bad Packets Report (@bad_packets) May 4, 2018
Coinhive 是一个 JavaScript 程序,通过网络浏览器在后台挖掘名为门罗币(Monero)的加密货币。虽然 Coinhive 从本质上并不是恶意软件,但可以通过“加密劫持 ”的攻击手段被注入到可信赖的代码中,迫使其挖掘门罗币,而受害者却浑然不知。
翻译:皓岳
Cryptojacking malware was secretly mining Monero on many government and university websites
声明:本文来自TechCrunch中文版,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
