报告称门罗币挖矿恶意软件袭击3500多个网站，加密劫持再次出现

本站报道：

黑客已使用隐秘的加密挖掘脚本感染了超过 3,500 个网站，这些脚本悄悄劫持了访问者的浏览器来生成门罗币，一种注重隐私的加密货币，旨在使交易更难追踪。

该恶意软件不会窃取密码或锁定文件。相反，它会悄悄地将访问者的浏览器变成门罗币矿业引擎，在未经用户同意的情况下窃取少量处理能力。

截至撰写本文时，该活动仍在进行中，最早是由网络安全公司 c/side 的研究人员发现的。

“通过限制 CPU 使用率并隐藏 WebSocket 流中的流量，它避免了传统加密劫持的迹象，”c/side披露 星期五。

加密劫持，有时拼写为一个词，是指未经授权使用某人的设备挖掘加密货币，通常是在所有者不知情的情况下。

这种策略在 2017 年末随着 Coinhive 的兴起而首次引起主流关注，Coinhive 是一家现已停业的服务，在被关闭在2019年。

同年，关于其患病率已成为冲突的，有一些说明解密尽管一些威胁研究实验室确认的当时上涨了29%。

“保持低调，缓慢开采”

五年多过去了，这种策略似乎正在悄然卷土重来：从嘈杂、占用大量 CPU 的脚本重新配置为专为隐身和持久性而构建的低调矿工。

如今的攻击活动并没有烧毁设备，而是悄悄地蔓延到数千个站点，遵循了新的策略，正如 c/side 所说，其目标是“保持低调，缓慢挖掘”。

一位熟悉该活动的信息安全研究人员表示，这种策略的转变并非偶然。解密不愿透露姓名。

该组织似乎正在重复使用旧的基础设施，以优先考虑长期访问和被动收入，解密被告知。

研究人员表示：“这些组织很可能已经控制了过去 Magecart 活动中被黑客入侵的数千个 WordPress 网站和电子商务商店。”解密.

Magecart 活动是黑客向在线结账页面注入恶意代码以窃取支付信息的攻击。

研究人员说：“植入矿工很简单，他们只需添加一个脚本来加载混淆的 JS，重新利用现有的访问权限。”

但研究人员表示，引人注目的是，该活动运作得非常悄无声息，很难用老方法检测到。

“过去检测加密劫持脚本的方法之一是检测其高 CPU 使用率，”解密被告知。“这一波新攻击通过使用受限制的 WebAssembly 矿工来避免这种情况，这些矿工保持低调，限制 CPU 使用率并通过 WebSockets 进行通信。”

WebAssembly 使代码在浏览器中运行速度更快，而 WebSocket 则能够与服务器保持持续连接。两者结合，使得加密货币矿工能够在不引起注意的情况下进行工作。

这位匿名研究人员表示，风险并非“直接针对加密货币用户，因为该脚本不会耗尽钱包，尽管从技术上讲，他们可以在有效载荷中添加钱包耗尽程序”。解密。“真正的目标是服务器和网络应用程序所有者，”他们补充道。