恶意软件的小伎俩,伪装成Cloudflare页面默默挖矿

FileTour是一种广告软件,通常作为游戏和其他软件的破解或欺骗手段传播。这个软件包是界定于广告软件和PUP以及更危险的计算机感染类型(如密码窃取木马和矿工)之间,也因此而臭名昭著。

此广告软件包可以创建Windows自动运行,当用户登录到Windows时,它会自动启动Chrome并连接到浏览器内的挖掘页面。更糟糕的是,用户并不能直接发现这些操作。

用于启动Headless Chrome的命令行

用户登录Windows时用于启动Chrome的命令是:

该命令将导致chrome以不可见的状态打开,无需GPU硬件加速,可以在端口9222上启用远程调试,并自动连接到https://de-mi-nis-ner2.info/cdn-41.html?t=0.4网页。

当浏览器在后台打开此页面时,它将执行嵌入式JavaScript,以启动CoinCube浏览器内矿工脚本。这会导致Chrome在任务管理器中激活高达70-80%的CPU利用率。

任务管理器显示Chrome CPU利用率

正如你所看到的,通过使用浏览器的矿工窗口,大多数人甚至不会注意到他们感染了任何东西。是的,他们的电脑可能会感觉很慢,有些甚至可能会检查任务管理器,并注意到Chrome的奇怪行为,但对于大多数用户而言,该矿工可以运行数天而不被检测到。

浏览器挖矿页面页面假装为Cloudflare验证页面

虽然大多数人不会在正常浏览器窗口中实际查看正在打开的网站,但我当然会看一看。有趣的是,这个页面假装是一个Cloudflare反DDoS验证页面,要求访问者确认他们是人类。

假Cloudflare反DDoS验证页面

即使此页面看起来像合法的Cloudflare验证页面,单击此复选框也不会执行任何操作。此外,源代码清楚地显示CoinCube脚本正在加载,这不是Cloudflare正在做的事情。

显示CoinCube代码的来源

保护用户免受浏览器内的矿工的侵害

挖矿软件正在成为一种流行病,而浏览器内置矿工的行为也会越来越猖獗。因此,用户通过安装防病毒软件来保护自己是非常重要的,这些防病毒软件可以检测浏览器何时连接到CoinCube等已知的挖掘服务。

不幸的是,新浏览器挖矿行为不断涌现,它已成为安全行业的重头戏。因此,您安装的软件可能无法检测与新的浏览器内矿工关联的网址或脚本。

要增加进一步的保护,您可以在Chrome中使用adblocker,这会阻止浏览器内挖掘脚本。此外,您还可以使用 CoinBlockerLists 网站下载与浏览器内挖掘相关的IP地址和域列表。

*参考来源:BleepingComputer,由Andy编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-05-22

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏jouypub

MySQL时间格式TIMESTAMP和DATETIME的区别

简书主页:https://www.jianshu.com/u/756c9c8ae984

6175
来自专栏IT技术精选文摘

分布式系统一致性保障方案总结

引言 在互联网系统中,理想的情况下,肯定是希望系统能够同时满足“一致性”、“可用性”和“分区容忍性”。 但是基于熟悉的CAP定律也好,还是BASE理论, 我们知...

32110
来自专栏信安之路

记一次线下赛靶机攻击过程

咋一眼看过去除了 80 端口的 web 以为就没其他端口了,尝试着进行全端口扫描发现,还是一样。

890
来自专栏飞雪无情的博客

从Hexo迁移到Hugo-送漂亮的Hugo Theme主题

自从Hugo出来后,作为Go语言(golang)的重度用户的重度用户,一直想把自己的博客迁移到Hugo,但是一直没有行动,主要原因在于,我的博客使用的一款主题m...

4931
来自专栏安恒信息

安全研究员发现了多个IP地址利用已修复的PHP漏洞劫持Linux服务器

华盛顿大学的安全研究员Andre'DiMino注意到了多个IP地址试图利用一个已修复PHP漏洞劫持Linux服务器,他很好奇攻击者如何成功控制一台Linux服务...

37812
来自专栏开源项目

2017 JavaScript 开发者的学习图谱 | 码云周刊第 25 期

码云项目推荐 1前端框架类 1. 基于 Vue.js 的 UI 组件库 iView ? 项目简介:iView 是一套基于 Vue.js 的 UI 组件库,主要服...

3547
来自专栏黑白安全

Cyber​​Ark 企业密码保险库现高危远程代码执行漏洞

据外媒 4 月 9 日消息,德国网络安全公司 RedTeam Pentesting GmbH 发现 CyberArk Enterprise Password V...

651
来自专栏Python与爬虫

黑客已经盗了15,945,221.72 USD

myetherwallet 昨日发推特说,他们的DNS 被污染,导致部分用户进入到了假的 网站,从而导致ETH被盗

1061
来自专栏针针小站

【System】Windows 10 RS3 1709 秋季创意者镜像分享

1043
来自专栏币聪财经

币聪早报:以太坊dApp浏览器采取措施提高钱包安全性

Paul Camechon在Medium中写道:“由于用户隐私问题,MetaMask和其他dApp浏览器已经承诺在11月2日停止向用户浏览器注入Web3,这意味...

943

扫码关注云+社区

领取腾讯云代金券