安全研究员警告称新型恶意活动在无需直接将臭名昭著的 CoinHive JavaScript 注入数千台被黑网站的情况下就能挖掘密币。

CoinHive 是一款热门浏览器服务,可供网站所有人内嵌利用网站访客 CPU 的 JavaScript 代码挖掘门罗币变现。然而,自 CoinHive 在2017年年中诞生之日起,就一直被滥用,攻击者将自己的 CoinHive JavaScript 代码版本注入到大量被黑站点中,最终诱骗数百万访客不知不觉地为攻击者挖掘门罗币。

由于目前很多 web 应用安全公司和杀毒公司都更新产品以检测对 CoinHive JavaScript 的越权注入,因此网络犯罪分子开始利用 CoinHive 的另外一种服务实现同样的目的。

CoinHive 短地址被注入被黑站点

除了可内嵌的 JavaScript 挖矿机外,CoinHive 还提供一种“URL 短地址”服务,能让用户为任何延迟的 URL 创建一个短链接,从而能够在用户被重定向至原始 URL 之前有机会挖掘门罗币。

Malwarebytes 公司的安全研究员表示,大量合法网站已被黑且在不知不觉中加载通过隐匿的 HTML 内联框架内部的 CoinHive 生成的 URL 短地址,试图强迫访客的浏览器为攻击者挖掘密币。

这种基于浏览器的越权挖掘行为无需直接注入 CoinHive的 JavaScript代码是由 Sucuri 公司的研究人员在五月末率先发现的。Malwarebytes 公司的研究员认为他们发现的被黑站点是 Sucuri 公司研究人员发现的攻击活动的一部分。

研究人员指出,黑客将一个混淆的 javascript 代码添加至被黑网站,该代码加载到访客的 web 浏览器后,就将不可见的内联框架(1×1像素)动态注入到网页中。

由于 URL 短地址加载的内联框架不可见,因此在网页上很难发现。受感染的网页随后自动开始挖掘密币,直到 CoinHive 短链服务将用户重定向至原始 URL。

然而,由于短链重定向的时间可通过 CoinHive 的设置(使用哈希值)进行调整,因此攻击者强迫访客的 web 浏览器持续地更长久地挖掘密币。

另外,当满足所需哈希数量后,短地址背后的链接进一步将用户重定向至同样的网页,试图再次启动挖矿流程,而访客被骗以为网页已被刷新过。

犯罪分子试图将用户电脑转变为挖矿奴隶

除了隐藏的内联框架外,研究人员发现网络犯罪分子还将超链接注入其它被黑网站,以诱骗受害者下载恶意密币挖掘恶意软件。

保护自己免受非法浏览器密币挖掘影响的最佳方式是使用浏览器扩展如 minerBlock 和 No Coin,后者专为拦截热门挖矿服务利用计算机资源而设计。

本文由360代码卫士翻译自TheHackerNews

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。