恶意挖矿脚本大举入侵,400 多政企网站受波及

发布者:CCkicker
发布于:2018-05-11 11:18

安全研究人员特洛伊·穆斯克(Troy Mursch)近日发布了一份新报告,详细描述了虚拟货币挖矿代码 Coinhive悄无声息地入侵大量可信赖网站的过程。穆斯克最近发现 Coinhive 代码运行在近 400 个网站上,其中包括属于圣迭戈动物园、联想集团以及美国全国劳资关系委员会的网站。点击这里,查看遭劫持的网站完整名单。


值得关注的是,这一名单中包括大量政府和教育部门的官方网站,其中包括总检察官办公室平等就业机会委员会(EEOC)、阿勒颇大学以及加州大学洛杉矶分校大气与海洋科学项目的网站。


在受影响的网站中,大部分都由亚马逊托管,而且都位于美国;穆斯克认为这些网站是因为旧版 Drupal 内容管理系统存在漏洞而面临遭攻击的威胁:


通过深入挖掘这个加密劫持行动,我发现在两种情况下,Coinhive 可以通过相同的方法被注入。恶意代码包含在“/misc/jquery.once.js?v=1.2”JavaScript 库中。此后不久,我得知使用不同有效负载的其他网站也受到攻击。但是,所有被感染的网站都指向一个使用相同 Coinhive 站点密钥的域。


一旦代码不再经过混淆处理,就会清楚地看到它提到“http://vuuwd.com/t.js”。只要访问这个网址,丑陋的真相就被揭示出来。我发现Coinhive 代码在执行时略微被节流。


Coinhive 是一个 JavaScript 程序,通过网络浏览器在后台挖掘名为门罗币(Monero)的加密货币。虽然 Coinhive 从本质上并不是恶意软件,但可以通过“加密劫持”的攻击手段被注入到可信赖的代码中,迫使其挖掘门罗币,而受害者却浑然不知。



来源:TechCrunch


声明:该文观点仅代表作者本人,转载请注明来自看雪