黑客组件是如何隐秘加密货币挖掘？

隐秘加密货币挖掘正在成为网络犯罪的新主流。骗子破解服务器，个人电脑和移动设备，并利用受感染主机的CPU或GPU来生成虚拟硬币，而无需受害者知晓。即使是由大量僵尸机器组成的僵尸网络，现在也被用来大规模地进行非法采矿活动，而不是使用DDoS攻击发送垃圾邮件或点击在线服务。

随着浏览器内挖掘脚本（如Coinhive）的出现，这种恶意的赚钱矢量得到了提升。最近发生的以下事件说明了这个问题变得多严重，以及诱捕网站小部件如何扮演威胁演员的手。

BrowseAloud小部件hack影响数千个网站

2018年2月11日，一个大规模的加密攻击事件扎根了一个名为BrowseAloud的热门小部件。这些男性因素能够将一个秘密的Monero矿工注入到4,200多个互联网资源中，其中包括英国，美国和澳大利亚政府网站等知名网站。在这种妥协之后，恶意脚本利用访问者机器的处理能力来在幕后挖掘加密货币。

为了记录，BrowseAloud是Texthelp Ltd.的一款工具，旨在通过语音，阅读和翻译功能为更广泛的受众提高网站可访问性。通过将这个小部件添加到网站，网站管理员可以确保患有阅读障碍，视觉障碍和英语能力差的人可以充分参与和使用他们的服务。此外，该软件还可以帮助网站所有者遵守各种法律义务，因此难怪它被广泛应用于世界各地，并成为黑客的目标。

顺便说一下，Texthelp供应商的官方网站上也有矿工运行。妥协揭晓后，该公司暂时将该部件脱机以避免对客户造成进一步损害。据报道，截至2月15日，违规事件已得到解决，服务照常运行。

cryptojacking脚本被配置为消耗40％的访问计算机的CPU，可能是为了避免引发许多红旗。攻击者的Coinhive钱包地址是已知的，但与比特币相反，该服务不允许查看其Monero钱包的数量。因此，BrowseAloud黑客背后的团体挖掘的加密货币数量仍然是一个谜。

LiveHelpNow小部件被利用于浏览器内挖掘

去年，感恩节上的另一个涉及网站小部件的加密攻击活动拉开帷幕。为了获取便利，威胁演员将Coinhive矿工注入LiveHelpNow的一个JavaScript模块中，这是一个流行的实时聊天窗口小部件。这个小部件被各种电子商务资源广泛使用，包括Everlast和Crucial等零售店。

特别是因为即将到来的黑色星期五和网络星期一，众多用户前往网上商店寻找最佳购买和其他优惠，因此这些明星与肇事者保持一致。此外，管理员不太可能在节日狂欢期间密切监视其网站的恶意活动。

隐藏在LiveHelpNow小部件的特洛伊木马副本中的Coinhive脚本将导致访问计算机的CPU使用率达到峰值并在Internet会话期间保持100％。有趣的是，矿工被配置为随机运行，也就是说，并非所有前往受害网站的用户都会立即加入隐蔽采矿。在某些情况下，流氓脚本需要刷新页面才能启动。可以说，这种选择性方法的理由不是为了吸引太多的关注正在进行的加密波。

如何保持安全

这是一个不平凡的问题。Cryptojacking本质上是偷偷摸摸的，所以最终用户发现这种类型的攻击的唯一方法是监控他们的CPU使用情况 - 如果它不断暴涨，那就是一面红旗。就防御力而言，以下是一些积极主动的提示：

安装一个自动拦截所有已知JavaScript矿工的浏览器扩展。一些受欢迎的附加组件包括minerBlock和No Coin。

大多数adblockers可能会阻止浏览器中的矿工。但是头脑黑客利用所有可能的方式绕过adblockers。

使用可靠的互联网安全套件，并配有防加密功能。

当连接到未知网络时，建议使用可靠的VPN服务，因为骗子矿工经常与键盘记录器和其他恶意软件一起使用。

确保您的操作系统保持最新状态，以确保已知的漏洞被修补，网络犯罪分子无法利用这些漏洞以不可察觉的方式注入矿工。

网站管理员应该考虑采用以下技术组合来确保他们的网站在其意识之外不提供加密安全脚本：

SRI（子资源完整性）是一种安全机制，用于验证加载在网站上的内容未被第三方修改。这是它的工作原理。网站所有者为特定脚本指定散列。如果此散列与相应内容传送网络提供的散列不匹配，则SRI功能会自动拒绝恶意脚本。

CSP（内容安全策略）是一项安全标准，它使网站上的所有脚本都有义务为其分配SRI散列。SRI和CSP的融合可防止受损小部件在网站上运行，从而阻止未经授权的加密挖掘。

底线

加密挖掘本身并不违法。然而，当某人使用他人的电脑在没有他们的知识和同意的情况下挖掘数字硬币时，它就变成了重罪。浏览器内挖掘是网站所有者通过流量获利的好方法，但它也是犯罪分子的诱惑。正如BrowseAloud和LiveHelpNow事件所展示的那样，网站小部件是可以大规模应用于加密劫持的低成本应用。