新型浏览器挖矿技术可在浏览器窗口关闭的情况下持续挖矿
写在前面的话
在之前的文章中,我们给大家介绍了基于Web的挖矿恶意软件的相关内容。通过观察发现,越来越多的攻击者开始使用臭名昭著的Coinhive服务(允许网站使用目标用户硬件资源挖门罗币)来实施攻击了。与此同时,越来越多的服务器和 服务插件开始受到了挖矿型恶意软件的感染。
对于之前可持续性感染的挖矿型恶意软件,我们之前所分析的基于Web的恶意挖矿软件最大的缺点就是无法在目标系统中持续挖矿。实际上,当用户关闭了浏览器之后,它们的挖矿活动将会停止,并影响攻击者的收益。
但是,我们近期发现了一种新型浏览器挖矿技术,而这种技术可在浏览器窗口关闭的情况下持续挖门罗币。我们对多款浏览器进行了测试,其中包括最新版本的Chrome。我们发现:
- 当用户访问了恶意网站之后,该网站可在后台悄悄加载挖矿代码。
- CPU占用率上升,但不会到100%。
- 用户浏览完毕,关闭Chrome窗口。
- CPU活动仍保持高占用率,因为挖矿活动仍在进行。
在这种技术中,虽然浏览器窗口已经被关闭,但还有一个隐藏窗口仍处于打开状态,因为恶意代码会创建一个浏览器窗口,并将其隐藏在任务栏右下角的时间后面,隐藏窗口会基于用户屏幕的分辨率来进行调整,适配规则如下:
- 水平位置= (当前屏幕 x分辨率) -100
- 垂直位置= (当前屏幕y分辨率) -40
如果Windows主题允许任务栏透明,那么细心的用户可能就会发现这个隐藏窗口了:
揭开“神秘面纱”
通过分析网络流量,我们就可以了解到这种流氓浏览器窗口是从何而来的,并且知道它加载了哪些恶意内容。
隐藏窗口(elthamely[.]com)是由广告网络服务商Ad Maven启动的,它负责从Amazon(cloudfront[.]net)加载资源。这并不是第一个托管在AWS上的挖矿恶意软件,但是它还可以从其他域名(hatevery.info)获取Payload。
我们从网页代码中发现了部分直接从Coinhive文档中拷贝过来的函数,例如.hasWASMSupport(),它负责检查浏览器是否支持WebAssembly。如果不支持的话,它将恢复使用较低版本的JavaScript(asm.js)。
恶意代码会从hatevery[.]info下载WebAsembly模块(.wasm),其中包含了指向cryptonight(用来挖门罗币的API)的引用。正如之前所提到的,挖矿活动并不会占用掉目标用户设备的所有资源,这样才能尽可能地让恶意活动不被发现。
感染可持续
需要注意的是,这种基于浏览器的挖矿恶意软件可以绕过大多数广告屏蔽工具,再加上它使用了这种“卑鄙”的小伎俩来隐藏自己,所以它并不容易被发现。除此之外,右键点击任务栏的浏览器图标并选择“关闭窗口”也没办法彻底终止它的运行。可能某些懂技术的用户会打开任务管理器并终止所有的浏览器进程运行,但终止之后任务栏的浏览器图标仍然会存在,这表明该恶意软件仍处于运行状态。
此类攻击将越来越常见
自Coinhive首次出现的两个月之后,基于浏览器的挖矿恶意软件仍然非常受攻击者的欢迎。因此,我们建议广大用户可以尝试下载更多的广告屏蔽软件、插件、以及其他安全防护产品来保护自己的安全。
入侵威胁指标IoC
CryptonightWebAssembly模块:
