许多正在追逐加密货币挖掘热潮的网络犯罪分子,已经开始劫持计算机设备并秘密地利用这些受害者的资源来开采加密货币。
Coinhive是部署在全球数千个网站上的加密货币挖矿机,其中一些具备网站所有者的许可和授权,但大多数时候是在未经网站持有者许可的情况下,将JavaScript加密货币挖掘脚本嵌入在其网站中。当访客访问该网站时,会利用访客的计算机CPU资源来挖掘加密货币(如门罗币Monero),最终导致网站访客的计算机性能下降。
Coinhive本身并不是恶意的。事实上,不得不承认其想法是相当有创意的。Coinhive.com推出时,其创建者曾向网站所有者们推广Coinhive并声称:仅需耗费访问用户的少部分CPU,就可以为网站所有者赚取利润(提供门罗币作为回报),用于支持他们的业务,再也不用添加各种烦人的广告,为用户提供无广告体验。但是目前,多家安全供应商已经开始阻止Coinhive,因为根据用户反馈许多网站所有者开始在不告知用户的情况下运行挖矿工具。
此外,网络犯罪分子也开始在未经网站所有者许可的情况下将挖矿工具嵌入成千上万的网站之中。Check Point预计,2018年1月,全球多达23%的组织都受到了Coinhive的影响。
然而,事情并没有如此简单。2018年2月初,英国网络安全公司Sophos公布了一份长达13页的报告指出,安全专家发现19款Android应用程序被秘密加载到了Google Play商店中。Synopsys公司高级安全策略师Taylor Armerding表示,其中一款应用程序的安装量已经达到10万到50万次。
RiskIQ公司产品经理Vamsi Gullapalli援引最近的数据称,“通过RiskIQ抓取到的数据发现,在过去一年中,有超过50,000 个网站通过直接嵌入或间接经由受损的第三方组件(如Texthelp)注入的方式加载了Coinhive 挖矿工具。“他进一步表示,大多数的嵌入操作都是在未经原始所有者许可的情况下实现的。
2. Smominru
去年10月份,由熊猫安全(Panda Security)率先发现的“WannaMine“是一款新型门罗币(Monero)加密挖掘蠕虫。鉴于该蠕虫试图最大限度地使用被感染系统的处理器和RAM的表现形式,Panda安全公司将该蠕虫形容成”尤为麻烦“的存在。
根据今年Crowdstrike公司发布的报告指出,该蠕虫同样利用与 NSA 相关的 “永恒之蓝“(EternalBlue)漏洞进行传播。此外,WannaMine 还可以使用凭证收割机”Mimikatz“来收集用户凭据,从而达到在公司网络中横向移动的目的,但如果不能够横向移动的话,WannaMine 将会尝试使用NSA泄露的EternalBlue漏洞扩展到其他系统之中。
4. Adylkuzz
JSECoin 是与Coinhive类似的JS挖矿工具,通过将加密货币挖掘工具嵌入网站所有者的网站之中,并提供网站所有者部分加密货币作为回报。像Coinhive一样,JSECoin也是在访客访问嵌入挖矿工具的网站时,利用访客的计算机CPU资源来挖掘加密货币。但是与前者不同的是,JSECoin会将CPU使用率限制在15%至25%之间,并且始终显示隐私声明,为用户提供退出链接。尽管如此,Check Point月度报告中还是已经将该挖矿工具列入了“10大最受欢迎的恶意软件工具“名单之列。
6. Bondnet
F5 Networks的研究人员将“PyCrypto Miner“描述为一个基于Python的僵尸网络,研究人员称,该僵尸网络很大程度上可能已经隐身运行了很长一段时间。
据悉,这一基于Linux的加密货币挖掘僵尸网络是通过SSH协议进行传播的,并主要被用于开采门罗币。截至2017年12月底,该僵尸网络的运营者似乎至少已经挖到了价值46,000美元的加密货币。
根据F5研究人员的说法,PyCrypto Miner僵尸网络存在的一个值得注意的特性是,如果原始服务器因为某种原因被关闭或变得不可用的话,它会使用Pastebin.com来发布和传输新的命令和控制(C&C)服务器地址。截至2017年12月中旬,该恶意软件已经获得了用于扫描易受攻击的JBoss系统的新功能。
领取专属 10元无门槛券
私享最新 技术干货