关闭浏览器后，Cryptojacking脚本却仍在运行

至少一个网站的管理员已经发现，即使在用户关闭了主浏览器窗口之后，通过隐藏在用户的Windows任务栏下的小窗口，仍可发现继续运行在浏览器内的挖矿脚本。

Malwarebytes研究人员杰罗姆·塞古拉（Jerome Segura）发现，不法分子利用一种被称为弹出式（pop-under）的手段，这样能够产生一个独立于主浏览器的新窗口。

网站运营商将新窗口隐藏在Windows任务栏下

网站所有者还能通过JavaScript代码在用户电脑上调整窗口的大小和位置。

塞古拉（一个门户网站）使用下面的公式动态计算这个新窗口的位置：

水平位置=（当前屏幕宽度） - 100px

垂直位置=（当前屏幕高度） - 40px

对于大多数用户来说，这只会在Windows任务栏下显示一个小窗口。然后，这个隐藏的窗口就会加载一段JavaScript代码。这段代码是Coinhive 内置在浏览器中的一个挖矿脚本，它可以利用用户的CPU资源来挖掘Monero加密货币。

新窗口难找，但容易关闭

如果用户的操作系统界面使用了透明度接口的话，就只有在Windows任务管理器中才能找到该进程。此外，脚本与其他大多数挖矿程序不同，它没有利用用户的全部CPU功率，而是将其活动限制在一个较低的值，期望不会使用户计算机变得卡顿。

根据Segura的说法，如果用户发现哪里不对劲的话，他们可以使用Windows任务管理器来强制终止与此窗口相关联的流氓浏览器进程，或者调整Windows任务栏的大小并强制显示该窗口。

某网站上发现该攻击方法

在写这篇文章的时候，这种技术似乎只适用于Chrome浏览器，并且在一个色情网站上发现了这种手法。

Malwarebytes在本月早些时候发布的一份报告中表示，他们的安全产品每天阻止800万次的加密服务请求,并且大多数安全产品和浏览器广告拦截插件都能屏蔽到内置于浏览器中的挖矿机。

自9月中旬Coinhive出现了相关服务以来，Bleeping Computer 已经发现很多这种类型的攻击事件。

而早在2010年初，当比特币矿业刚刚开始盈利时，美国当局就介入关闭了一项名为Tidbit的类似服务:

内置于浏览器中的（比特币）挖矿服务被美国当局关闭:[https://t.co/4WdbRnHsmx](https://t.co/4WdbRnHsmx)

来源：bleepingcomputer

本文由看雪翻译小组 fyb波 编译