Alexa 上排名靠前的网站基本上都受到了 CoinMiner 挖矿病毒、恶意外部链接、Web skimmer 攻击

cosmeshare etc行情 2022-09-23 04:00:05 coinminer

  n algorithm)Luhn 算法(Luh,Mod 10)算法也称为 模 10(,的校验和算法是一种简单,证身份识别码一般用于验,动设备辨识码(IMEI)例如发卡行识别码、国际移,供商标识号码美国国家提,社会保险号码或是加拿大。

  受影响网站访问的总体地理分布上图显示了研究人员观察到的,害者显然来自西欧可以看出大多数受,西部的受害者却紧随其后但来自美国东部和美国,围内的攻击已经非常普遍另外上图也显示了全球范。

  站中发现的样本源于另一个外部链接安全漏洞研究人员在 Alexa 上排名最高的网。cz 本身是一个在线购物网站heureka [ 。 ] 。ID 产品(网站上排名靠前的搜索关键字)如果用户在网站上搜索 Anti-COV,关产品列表则会显示相。

  动了一项针对全球前一万网站的威胁搜索活动Unit 42 最近在 Alexa 上启,和访问次数来衡量网站的受欢迎程度Alexa 排名基于访问者的互动。1 所示如表 ,四个受影响的网站研究人员发现了。的分析中在随后,地描述这些恶意活动研究人员会更详细,nMiner 挖矿病毒其中就包括了 Coi, 资源来挖矿加密货币它们劫持了 CPU。inMiner 就被发现早在 2017 年 Co,件的恶意软件它是一款无文, Instrumentation ) 在感染的系统上运行命令它会利用 WMI ( Windows Management,家称专,很难检测这款软件,恒之蓝进行传播并且会使用永。ner 挖矿病毒外除了 CoinMi,外部链接还有恶意,到恶意网站将用户定向; skimmer 攻击还有一种就是 Web,单中窃取银行卡信息该攻击旨在从付款表。称之为 Magecart 攻击Web skimmer 也被,被评为了最危险的安全威胁早在 2018 年它就。对的是支付数据这种攻击主要针, 能够将任意信息填充进目标网站中因为 Web Skimming,在局限于银行信用卡数据所以攻击者目前可能不,入信息以及其他敏感数据信息上而是将攻击范围扩展到网站登。

  hn 算法验证信用卡号该函数用于通过 Lu,验证各种标识号该算法广泛用于,用卡号例如信。

  e 挖矿脚本的命令的另一个样本下面显示了启动 Coinhiv,ojoksatu [ 。 ] id该样本来自另一个发现的网站—— p。

  的 CPU 以及用于挖矿的线程数量该挖矿程序可以控制其如何利用用户。控制目标使用的 CPU 数量CoinMiner 还可以。可用的参数选项表 2 列出了。的是奇怪,快速耗尽受感染设备的电池上述代码将挖矿程序配置为,限度地利用任何成功被入侵的受害者也许是因为攻击者觉得有必要最大。的电源使用率保持在较低水平大多数攻击者确保受损设备,并继续非法赚钱以避免被检测到。是但,举的样本中在本文所列,并没有正确配置来躲开检测攻击者似乎急于进行挖矿。

  两个网站中的任何一个一旦用户访问了以上,自动运行并开始为攻击者进行挖矿Coinhive 挖矿脚本就将。PU 载荷将增加此时用户的 C,3 所示如图 。

  图所示如上,libero [ 。 ] it所有突出显示的外部链接都指向 。多关于汽车的信息如果用户想了解更,击这个链接则需要点,定向到恶意网站然后就会被重。

  ] it 中的外部链接libero [ 。 ,向到受感染的网它将访问者重定站

  一个用来挖矿的 JS 引擎coinhive 专门提供,内嵌一段 JS 代码在被攻击网站上的网页,问被攻击网站只要有人访,网民的电脑上工作挖矿程序就会在,的系统资源占用大量,利用率突然提升导致 CPU ,100%甚至 !网站是受害者不但被攻击,也是受害者普通网民。 是一个浏览器挖矿服务最初 Coinhive, JavaScript 挖矿负责为门罗币区块链提供了一个。 年 3 月被关闭该网站于 2019,是它被网络攻击者滥用其中很大一部分原因。oinhive 的挖矿程序脚本不过目前仍有两个网站提供 C。ive。min。js一个是 coinh,SEcoin另一个是 J。 [ 。 ] com 上启动 coinminer 所发出的命令下面的图 1 显示了在一个受攻击的网站 zoombangla。

  息发送到远程攻击者服务器成功的攻击会将所有用户信,用卡号包括信,址等地。

  站 libero [ 。 ] 图 4 是一个合法的二手车网,和比较他们喜欢车辆用户可以在其中搜索。车广告中插入了恶意链接此时攻击者可能会在汽,访问者重定向到一个恶意网站这些链接将把对汽车感兴趣的,EcoinCoinMiner 脚本此时该网站就会向他们注入了 JS,图所示如下。注意请,20 年 4 月 4 日被关闭JSEcoin 平台已于 20。仍在运行虽然脚本,CoinMiner 攻击了但攻击者已无法再从中进行 。

  幸的是而且不,恶意 skimmer 脚本整个网站到处都是经过混淆的,图所示如下。

  变得越来越重要外部链接安全性。和其他类型的恶意消息方面的改进随着电子邮件服务在发现垃圾邮件,外部链接的开放重定向攻击者正在使用带有,更多攻击已发起。的帖子中发布恶意 URL如果攻击者在合法网站上,问者会觉得可疑可能很少有访。标悬停在该链接上以进行检查如果用户单击该链接甚至将鼠,看到有效的网站他们将在链接中,为那就错了如果这样认,要将其重定向到的恶意网站用户最终将进入攻击者想。后然,种恶意软件感染用户就会被某,iner 挖矿病毒例如 CoinM,信息被盗或者个人。

  5 月今年 ,gento 插件中一个存在了三年的漏洞美国联邦调查局就发现黑客正在利用 Ma,线商店接管在,恶意脚本植入一个,家的付款卡数据记录并窃取买。web skimming这种类型的攻击被称为 ,mminge-ski,ecart或 Mag,就曾警告过此类攻击的增加FBI 在去年 10 月。部门的一份 flash 安全警报中表示FBI 在今年 5 月初发给美国私营,的攻击中在最近,ort ) 插件中的 CVE-2017-7391 漏洞进行攻击攻击者利用 MAGMI ( Magento Mass Imp。 ( XSS ) 漏洞该漏洞是一个跨站点脚本,在线商店的 HTML 代码中它允许攻击者将恶意代码植入。

  码是模糊的上面的代,它们导致的行为因此很难预测。代码进行模糊处理研究人员必须先对。后然,现了以下功能研究人员发,对其支付卡信息的输入它们可以偷偷监视用户,远程攻击服务器并将其发送到。

分享: