黑客組件是如何隱秘加密貨幣挖掘？

隱秘加密貨幣挖掘正在成為網路犯罪的新主流。騙子破解伺服器，個人電腦和移動設備，並利用受感染主機的CPU或GPU來生成虛擬硬幣，而無需受害者知曉。即使是由大量殭屍機器組成的殭屍網路，現在也被用來大規模地進行非法採礦活動，而不是使用DDoS攻擊發送垃圾郵件或點擊在線服務。

隨著瀏覽器內挖掘腳本（如Coinhive）的出現，這種惡意的賺錢矢量得到了提升。最近發生的以下事件說明了這個問題變得多嚴重，以及誘捕網站小部件如何扮演威脅演員的手。

BrowseAloud小部件hack影響數千個網站

2018年2月11日，一個大規模的加密攻擊事件紮根了一個名為BrowseAloud的熱門小部件。這些男性因素能夠將一個秘密的Monero礦工注入到4,200多個互聯網資源中，其中包括英國，美國和澳大利亞政府網站等知名網站。在這種妥協之後，惡意腳本利用訪問者機器的處理能力來在幕後挖掘加密貨幣。

為了記錄，BrowseAloud是Texthelp Ltd.的一款工具，旨在通過語音，閱讀和翻譯功能為更廣泛的受眾提高網站可訪問性。通過將這個小部件添加到網站，網站管理員可以確保患有閱讀障礙，視覺障礙和英語能力差的人可以充分參與和使用他們的服務。此外，該軟體還可以幫助網站所有者遵守各種法律義務，因此難怪它被廣泛應用於世界各地，並成為黑客的目標。

順便說一下，Texthelp供應商的官方網站上也有礦工運行。妥協揭曉後，該公司暫時將該部件離線以避免對客戶造成進一步損害。據報道，截至2月15日，違規事件已得到解決，服務照常運行。

cryptojacking腳本被配置為消耗40％的訪問計算機的CPU，可能是為了避免引發許多紅旗。攻擊者的Coinhive錢包地址是已知的，但與比特幣相反，該服務不允許查看其Monero錢包的數量。因此，BrowseAloud黑客背後的團體挖掘的加密貨幣數量仍然是一個謎。

LiveHelpNow小部件被利用於瀏覽器內挖掘

去年，感恩節上的另一個涉及網站小部件的加密攻擊活動拉開帷幕。為了獲取便利，威脅演員將Coinhive礦工注入LiveHelpNow的一個JavaScript模塊中，這是一個流行的實時聊天窗口小部件。這個小部件被各種電子商務資源廣泛使用，包括Everlast和Crucial等零售店。

特別是因為即將到來的黑色星期五和網路星期一，眾多用戶前往網上商店尋找最佳購買和其他優惠，因此這些明星與肇事者保持一致。此外，管理員不太可能在節日狂歡期間密切監視其網站的惡意活動。

隱藏在LiveHelpNow小部件的特洛伊木馬副本中的Coinhive腳本將導致訪問計算機的CPU使用率達到峰值並在Internet會話期間保持100％。有趣的是，礦工被配置為隨機運行，也就是說，並非所有前往受害網站的用戶都會立即加入隱蔽採礦。在某些情況下，流氓腳本需要刷新頁面才能啟動。可以說，這種選擇性方法的理由不是為了吸引太多的關注正在進行的加密波。

如何保持安全

這是一個不平凡的問題。Cryptojacking本質上是偷偷摸摸的，所以最終用戶發現這種類型的攻擊的唯一方法是監控他們的CPU使用情況 - 如果它不斷暴漲，那就是一面紅旗。就防禦力而言，以下是一些積極主動的提示：

安裝一個自動攔截所有已知JavaScript礦工的瀏覽器擴展。一些受歡迎的附加組件包括minerBlock和No Coin。

大多數adblockers可能會阻止瀏覽器中的礦工。但是頭腦黑客利用所有可能的方式繞過adblockers。

使用可靠的互聯網安全套件，並配有防加密功能。

當連接到未知網路時，建議使用可靠的VPN服務，因為騙子礦工經常與鍵盤記錄器和其他惡意軟體一起使用。

確保您的操作系統保持最新狀態，以確保已知的漏洞被修補，網路犯罪分子無法利用這些漏洞以不可察覺的方式注入礦工。

網站管理員應該考慮採用以下技術組合來確保他們的網站在其意識之外不提供加密安全腳本：

SRI（子資源完整性）是一種安全機制，用於驗證載入在網站上的內容未被第三方修改。這是它的工作原理。網站所有者為特定腳本指定散列。如果此散列與相應內容傳送網路提供的散列不匹配，則SRI功能會自動拒絕惡意腳本。

CSP（內容安全策略）是一項安全標準，它使網站上的所有腳本都有義務為其分配SRI散列。SRI和CSP的融合可防止受損小部件在網站上運行，從而阻止未經授權的加密挖掘。

底線

加密挖掘本身並不違法。然而，當某人使用他人的電腦在沒有他們的知識和同意的情況下挖掘數字硬幣時，它就變成了重罪。瀏覽器內挖掘是網站所有者通過流量獲利的好方法，但它也是犯罪分子的誘惑。正如BrowseAloud和LiveHelpNow事件所展示的那樣，網站小部件是可以大規模應用於加密劫持的低成本應用。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！