報告稱門羅幣挖礦惡意軟件襲擊3500多個網站，加密劫持再次出現

黑客已使用隱秘的加密挖掘腳本感染了超過 3,500 個網站，這些腳本悄悄劫持了訪問者的瀏覽器來生成門羅幣，一種注重隱私的加密貨幣，旨在使交易更難追踪。

該惡意軟件不會竊取密碼或鎖定文件。 相反，它會悄悄地將訪問者的瀏覽器變成門羅幣礦業引擎，在未經用戶同意的情況下竊取少量處理能力。

截至撰寫本文時，該活動仍在進行中，最早是由網絡安全公司 c/side 的研究人員發現的。

“通過限制 CPU 使用率並隱藏 WebSocket 流中的流量，它避免了傳統加密劫持的跡象，”c/side披露 星期五。

加密劫持，有時拼寫為一個詞，是指未經授權使用某人的設備挖掘加密貨幣，通常是在所有者不知情的情況下。

這種策略在 2017 年末隨著 Coinhive 的興起而首次引起主流關注，Coinhive 是一家現已停業的服務，在被關閉在2019年。

同年，關於其患病率已成為衝突的，有一些說明解密儘管一些威脅研究實驗室確認的當時上漲了29%。

“保持低調，緩慢開採”

五年多過去了，這種策略似乎正在悄然捲土重來：從嘈雜、佔用大量 CPU 的腳本重新配置為專為隱身和持久性而構建的低調礦工。

如今的攻擊活動並沒有燒毀設備，而是悄悄地蔓延到數千個站點，遵循了新的策略，正如 c/side 所說，其目標是“保持低調，緩慢挖掘”。

一位熟悉該活動的信息安全研究人員表示，這種策略的轉變並非偶然。 解密不願透露姓名。

該組織似乎正在重複使用舊的基礎設施，以優先考慮長期訪問和被動收入，解密被告知。

研究人員表示：“這些組織很可能已經控制了過去 MagecARt 活動中被黑客入侵的數千個 WordPress 網站和電子商務商店。”解密.

Magecart 活動是黑客向在線結賬頁面注入惡意代碼以竊取支付信息的攻擊。

研究人員說：“植入礦工很簡單，他們只需添加一個腳本來加載混淆的 JS，重新利用現有的訪問權限。”

但研究人員表示，引人注目的是，該活動運作得非常悄無聲息，很難用老方法檢測到。

“過去檢測加密劫持腳本的方法之一是檢測其高 CPU 使用率，”解密被告知。 “這一波新攻擊通過使用受限制的 WebAssembly 礦工來避免這種情況，這些礦工保持低調，限制 CPU 使用率並通過 WebSockets 進行通信。”

WebAssembly 使代碼在瀏覽器中運行速度更快，而 WebSocket 則能夠與服務器保持持續連接。 兩者結合，使得加密貨幣礦工能夠在不引起注意的情況下進行工作。

這位匿名研究人員表示，風險並非“直接針對加密貨幣用戶，因為該腳本不會耗盡錢包，儘管從技術上講，他們可以在有效載荷中添加錢包耗盡程序”。 解密。 “真正的目標是服務器和網絡應用程序所有者，”他們補充道。