加密貨幣劫持襲擊市場，門羅幣挖礦惡意軟件攻擊 3,500 多個網站

據 c/side 研究人員稱，該惡意軟件隱藏在經過混淆的 JavaScript 代碼中，當用戶訪問受感染的網站時，它會悄悄地部署挖礦程序。 一旦訪問者進入受感染的頁面，該腳本就會悄悄評估設備的計算能力。 然後，它會在後台啟動並行的 Web Workers 執行挖礦操作，而無需用戶同意。

通過限制處理器使用率並通過 WebSocket 流路由通信，挖礦程序可以躲避檢測，隱藏在正常的瀏覽器流量背後。 “其目標是像數字吸血鬼一樣，持續不斷地吸走資源，”c/side 分析師解釋道。

加密劫持代碼如何運作

c/side 找到了一個代碼通過從 https://www.yobox[.]store/karma/karma.js?karma=bs?nosaj=faster.mo 加載的第三方 JavaScript 文件插入網站。 而不是直接挖礦門羅幣在首次執行時，它首先檢查用戶的瀏覽器是否支持 WebAssembly，這是運行具有高處理需求的應用程序的標準。

然後，代碼會判斷設備是否適合挖礦，並啟動名為“worcy”的後台 Web Worker，它會謹慎地處理挖礦任務，而不會干擾瀏覽器主線程。 命令和挖礦強度級別通過 WebSocket 連接從命令與控制 (C2) 服務器插入。

該 JavaScrIPt 挖礦程序的託管域名此前曾與臭名昭著的 Magecart 攻擊活動有關，該活動因竊取支付卡信息而臭名昭著。 這可能意味著當前攻擊活動的幕後黑手曾參與過網絡犯罪。

威脅通過網站漏洞傳播

最近幾週，網絡安全偵探發現了多起針對 WordPress 網站的客戶端攻擊。 研究人員發現了一些感染方法，這些方法會在 WordPress 網站中嵌入惡意 JavaScript 或 PHP 代碼。

攻擊者已開始濫用 Google 的 OAuth 系統，將 JavaScript 嵌入到與 URL（例如“accounts.google.cOM/o/oauth2/revoke”）綁定的回調參數中。 重定向會引導瀏覽器通過隱藏的 JavaScript 負載，從而與惡意攻擊者的服務器建立 WebSocket 連接。

另一種方法注入腳本通過 Google Tag MANAger (GTM)，該腳本會直接嵌入到 WordPress 數據庫表（例如 wp_options 和 wp_posts）中。 該腳本會悄悄地將用戶重定向到 200 多個垃圾郵件域名。

其他方法包括修改WordPress的wp-settings.php文件，從遠程服務器上託管的ZIP壓縮包中獲取有效載荷。 一旦激活，這些腳本就會感染網站的SEO排名，並添加內容以提高詐騙網站的可見度。

在一個案例中，代碼被注入主題頁腳的 PHP 腳本，導致瀏覽器將用戶重定向到惡意網站。 另一個案例涉及一個以受感染域名命名的偽造 WordPress 插件，該插件會檢測搜索引擎爬蟲何時訪問該頁面。 然後，它會發送垃圾內容來操縱搜索引擎排名，而人類訪問者仍然無法察覺。

C/side 提到了 Gravity FORMs 插件版本 2.9.11.1 和 2.9.12 是如何在供應鏈攻擊中被入侵並通過官方插件網站分發的。 被篡改的版本會聯繫外部服務器獲取額外的有效載荷，並嘗試在 WordPress 上創建管理員帳戶。 site.

2024 年秋季，微軟攻擊美國國際開發署 (USAID) 後，成為加密貨幣劫持的受害者警覺該機構在測試環境中的一個管理員賬戶被攻破。 攻擊者使用密碼噴灑攻擊訪問系統，然後通過美國國際開發署的 Azure 雲基礎設施創建了第二個賬戶，用於加密貨幣挖礦操作。

KEY 差異線幫助加密貨幣品牌快速突破並佔據頭條新聞