Monero采矿恶意软件在加密劫持的攻击中登陆3,500多个网站

加密夹克攻击又回来了，损害了3500多个网站，并默默劫持了用户的浏览器，以挖掘以隐私为中心的加密货币Monero。自2017年自2017年自推广后，Coinhive已关闭了将近七年后，网络安全公司C/方面发现了这项运动。

根据C/Side研究人员的说法，恶意软件隐藏在混淆的JavaScript代码中，该代码在用户访问受感染网站时会默默地部署矿工。一旦访问者降落在折衷的页面上，脚本就会悄悄评估设备的计算能力。然后，它在未经用户同意的情况下启动并行网络工人进行采矿操作。

通过限制处理器的使用和通过WebSocket流的路由通信，矿工避免检测，隐藏在正常的浏览器流量后面。 C/Side Analyst解释说：“目标是随着时间的流逝，像数字吸血鬼一样，将资源汲取灵感。”

加密夹克代码如何运行

C/侧通过第三方JavaScript文件在网站上插入的代码它首先检查用户的浏览器是否支持WebAssembly，而不是直接在初始执行中直接挖掘Monero

然后，该代码会衡量设备如果适合采矿，并将其称为“ worcy”的背景网络工人插入，该工人谨慎处理采矿任务，并将主浏览器线程不受干扰。命令和采矿强度级别通过WebSocket连接从命令和控制服务器插入。 

JavaScript Miner的托管域以前曾与Magecart广告系列相关，臭名昭著，以窃取付款卡的详细信息。这可能意味着当前竞选活动的小组在网络犯罪中具有历史。 

威胁通过网站漏洞扩散

最近几周，网络安全侦探发现了对WordPress运行的网站的几次客户端攻击。研究人员发现了将恶意JavaScript或PHP代码嵌入WP站点的感染方法。

攻击者已经开始通过将JavaScript嵌入到与URL相关的回调参数中，例如``accounts.google.com/o/oauth2/revoke''，开始滥用Google的OAuth系统。重定向将浏览器通过隐藏的JavaScript有效载荷，该有效载荷建立了与不良演员服务器的Websocket连接。

另一种方法通过Google Tag Manager（GTM）注入脚本，然后将其直接嵌入到WordPress数据库表中，例如WP_OPTIONS和WP_POSTS。该脚本默默地将用户重定向到200多个垃圾邮件域。

其他方法包括更改WordPress的wp-settings.php文件，以从托管在远程服务器上的zip档案中获取有效载荷。激活后，这些脚本感染了网站的SEO排名并添加内容以提高骗局网站的可见性。

在一种情况下，将代码注入主题的页脚PHP脚本中，导致浏览器将用户重定向到恶意网站。另一个涉及一个以被感染的域名命名的假WordPress插件，该域检测到搜索引擎爬网何时访问该页面。然后，它将垃圾邮件内容操纵搜索引擎排名，但仍隐藏在人类访问者中。

C/侧提到了重力形式插件版本2.9.11.1和2.9.12在供应链攻击中通过官方插件站点妥协和分发。篡改版本与外部服务器联系以获取其他有效载荷，并尝试在WordPress网站。

2024年秋季，美国国际发展机构（USAID）在Microsoft提醒该机构违反管理员帐户后，成为了加密劫持的受害者。攻击者使用密码喷雾攻击访问系统，然后通过USAID的Azure Cloud Infrstructure创建了第二个用于加密矿业开采操作的帐户。

密码大都会学院：厌倦了市场波动？了解DeFi帮助您建立稳定的被动收入。立即注册