浏览器“挖矿”愈演愈烈：攻击者入侵 2,500 个网站以挖掘数字货币

简介

加密货币通过让多台计算机协同工作来解决复杂的数学问题，从而产生新的数字“货币”。这种数字运算过程称为挖矿什么是网络挖矿，新的加密货币将分发给第一批矿工以解决复杂的聚合问题。人们拥有的计算机处理能力越强，他们可以生成的虚拟货币就越多。

以大规模分布式方式使用其他人的设备对黑客来说极具吸引力，因为他们可以有效地利用大量计算机资源，而加密货币挖掘恶意软件并不是什么新鲜事。现有虚拟货币的价值不断增长，以及潜在有价值的新货币的创造，促使黑客运行这些恶意脚本。

截至目前，利用浏览器CPU通过入侵网站、植入恶意“挖矿”代码等方式挖掘数字货币的做法越来越流行。近日，据外媒报道，一名安全研究人员发现，近2500个网站因运行已知漏洞的过时软件、植入“挖矿”代码、用户不知情等原因被攻击者入侵。在其浏览器上进行活跃的加密货币挖掘工作。

独立安全研究员 Willem de Groot 周二报告了最新发现，他表示，他跟踪了至少 2,496 个站点，因为这些站点仍然被运行具有已知安全漏洞的过时软件的攻击者利用和控制。攻击者访问这些站点并植入恶意代码，以暗中利用浏览器的 CPU 来挖掘加密货币。他进一步补充说，大约 80% 的网站还植入了其他类型的恶意程序，可以窃取访问者的银行卡信息。

他说，很明显什么是网络挖矿，网络窃贼正试图从他们扣押的资产中榨取每一分钱。

其中一个受影响的网站是 shop.subaru.com.au。当我周二访问该站点时，Activity Monitor 显示大约 95% 的 CPU 负载正在被消耗。当我关闭站点时，负载下降到 9% 左右。除了给我的设备带来明显的负载外，该站点还从我的办公室汲取了额外的电力。这使攻击者可以从我的硬件和电力中获益，而无需向我提供任何回报。

网络安全公司 Trustwave 的 SpiderLabs 最近的一份报告估计，如果“挖矿”页面在此期间保持打开并继续运行，那么一台计算机每月消耗大约 2.90-5 美元的电力。这个数字不包括硬件的磨损，这是执行生成数字货币所需的复杂数学问题所必需的。

Coinhive 被恶意使用

研究结果表明，这些网站都植入了 Coinhive.com 提供的脚本。据悉，Coinhive 工具实际上是一个 Java 库。用户访问加载了 JS 的网站后，Coinhive 的 JS 代码库在用户的浏览器上运行，并开始为网站所有者挖掘门罗币，消耗用户自己的 CPU 资源。 不幸的是，它在推出后不久就被诈骗者滥用为牟利工具。

许多网站使用 Coinhive 和其他一些脚本（如 JSE Coin）从其稳定的访问者流中生成一些虚拟货币。 Coinhive 网站上发布的指标表明，每月访问量为 100 万的网站将挖掘价值 116 美元的门罗币。

研究员 de Groot 表示，在他跟踪的 2,496 个网站中，85% 的网站都嵌入了属于两个 Coinhive 帐户的脚本。根据访问者的总数、他们在受影响网站上花费的时间以及他们的计算机设备消耗的电量，这些帐户可能会非常有利可图。

剩余的 15% 分布在其他 Coinhive 账户中，但 de Groot 有证据表明这些账户由一个人或一个团体控制。大多数受影响的网站通过添加指向域 siteverification.online 的链接或伪造的 Sucuri 防火墙来隐藏与 Coinhive 的连接。

De Groot 的调查结果表明，利用浏览器 CPU 来挖掘数字货币的做法正变得越来越普遍，至少没有减弱的迹象。根据安全公司 Sucuri 的研究，早些时候，至少有 500 个运行过时 WordPress 内容管理系统的网站被黑客用于 Coinhive 挖矿。

英国广播公司 (BBC) 已联系了英国多个运行 Coinhive 脚本的网站。后者回应说他们不知道是谁将它添加到他们的网站上。一些网站已经删除了挖矿代码，更新了他们的安全政策，并正在调查代码是如何被植入的。

其中一个网站在给 BBC 的消息中说：

我们有一些早期用户在不知道脚本的情况下在被黑网站上运行。我们已经封禁了其中几个帐户，并将继续封禁一些帐户，直到我们弄清楚发生了什么。

该公司还鼓励人们举报对 Coinhive 的恶意使用，并表示任何使用 Coinhive 的网站都应告知用户他们的计算机参与了挖矿计划。一些安全程序和广告拦截软件现在会在用户遇到矿工时发出警告。

最后，研究人员建议用户可以使用 Malwarebytes 或其他防病毒程序来阻止滥用页面、安装 Chrome 扩展程序或更新其计算机的 hosts 文件以阻止 coinhive.com 和其他已知的未经授权的挖矿站点，并且随着这种现象的持续存在为了成长，用户还可以使用广告拦截器或阻止列表来阻止挖矿脚本运行，并记得定期更新它们。