Monero採礦惡意軟件在加密劫持的攻擊中登陸3,500多個網站

加密夾克攻擊又回來了，損害了3500多個網站，並默默劫持了用戶的瀏覽器，以挖掘以隱私爲中心的加密貨幣Monero。自2017年自2017年自推廣後，Coinhive已關閉了將近七年後，網絡安全公司C/方面發現了這項運動。

根據C/Side研究人員的說法，惡意軟件隱藏在混淆的JavaScript代碼中，該代碼在用戶訪問受感染網站時會默默地部署礦工。一旦訪問者降落在折衷的頁面上，腳本就會悄悄評估設備的計算能力。然後，它在未經用戶同意的情況下啓動並行網絡工人進行採礦操作。

通過限制處理器的使用和通過WebSocket流的路由通信，礦工避免檢測，隱藏在正常的瀏覽器流量後面。 C/Side Analyst解釋說：“目標是隨着時間的流逝，像數字吸血鬼一樣，將資源汲取靈感。”

加密夾克代碼如何運行

C/側通過第三方JavaScript文件在網站上插入的代碼它首先檢查用戶的瀏覽器是否支持WebAssembly，而不是直接在初始執行中直接挖掘Monero

然後，該代碼會衡量設備如果適合採礦，並將其稱爲“ worcy”的背景網絡工人插入，該工人謹慎處理採礦任務，並將主瀏覽器線程不受干擾。命令和採礦強度級別通過WebSocket連接從命令和控制服務器插入。 

JavaScript Miner的託管域以前曾與Magecart廣告系列相關，臭名昭著，以竊取付款卡的詳細信息。這可能意味着當前競選活動的小組在網絡犯罪中具有歷史。 

威脅通過網站漏洞擴散

最近幾周，網絡安全偵探發現了對WordPress運行的網站的幾次客戶端攻擊。研究人員發現了將惡意JavaScript或PHP代碼嵌入WP站點的感染方法。

攻擊者已經開始通過將JavaScript嵌入到與URL相關的回調參數中，例如``accounts.google.com/o/oauth2/revoke''，開始濫用Google的OAuth系統。重定向將瀏覽器通過隱藏的JavaScript有效載荷，該有效載荷建立了與不良演員服務器的Websocket連接。

另一種方法通過Google Tag Manager（GTM）注入腳本，然後將其直接嵌入到WordPress數據庫表中，例如WP_OPTIONS和WP_POSTS。該腳本默默地將用戶重定向到200多個垃圾郵件域。

其他方法包括更改WordPress的wp-settings.php文件，以從託管在遠程服務器上的zip檔案中獲取有效載荷。激活後，這些腳本感染了網站的SEO排名並添加內容以提高騙局網站的可見性。

在一種情況下，將代碼注入主題的頁腳PHP腳本中，導致瀏覽器將用戶重定向到惡意網站。另一個涉及一個以被感染的域名命名的假WordPress插件，該域檢測到搜索引擎爬網何時訪問該頁面。然後，它將垃圾郵件內容操縱搜索引擎排名，但仍隱藏在人類訪問者中。

C/側提到了重力形式插件版本2.9.11.1和2.9.12在供應鏈攻擊中通過官方插件站點妥協和分發。篡改版本與外部服務器聯繫以獲取其他有效載荷，並嘗試在WordPress網站。

2024年秋季，美國國際發展機構（USAID）在Microsoft提醒該機構違反管理員帳戶後，成爲了加密劫持的受害者。攻擊者使用密碼噴霧攻擊訪問系統，然後通過USAID的Azure Cloud Infrstructure創建了第二個用於加密礦業開採操作的帳戶。

2025年DeFi賺取被動收入的新方法。瞭解更多