自从我们以来以来最后博客在驾驶下加密在美国,我们目睹了越来越多涉及臭名昭著的Coinhive服务的滥用案件,该服务允许网站使用其访问者挖掘Monero加密货币。服务器继续被黑客入侵使用挖掘代码,和插件被劫持同时影响数百甚至数千个网站。

我们提到的基于Web的密码的主要缺点之一我们的论文与持续的恶意软件相比,它是短暂的,只要计算机仍然被感染,就可以运行矿工。事实上,当用户关闭浏览器时,加密挖矿活动也将停止,从而切断犯罪者的利润。

然而,我们遇到了一种技术,它允许可疑的网站所有者或攻击者在关闭浏览器窗口后继续挖掘Monero。我们的测试使用的是最新版本的谷歌Chrome浏览器。结果可能因其他浏览器而异。我们观察到的是:

  • 用户访问一个网站,默默地加载密码代码。
  • CPU活动升起但不会最大。
  • 用户离开站点并关闭Chrome窗口。
  • 随着密码的持续,CPU活动仍然高于正常。

诀窍是,虽然可以关闭可见浏览器Windows,但有一个隐藏的窗口仍然打开。这是由于一个爆破其中尺寸适合在任务栏下方贴合,并在时钟后隐藏。隐藏的窗口的坐标将根据每个用户的屏幕分辨率而有所不同,但请按照此规则进行:

  • 水平位置=(当前屏幕X分辨率)- 100
  • 垂直位置=(当前屏幕y分辨率) - 40

如果您的Windows主题允许任务栏透明度,您可以瞥见流氓窗口。否则,要公开它,您可以简单地调整任务栏的大小,它将神奇地弹出它:

在引擎盖下看起来

这种特殊的事件被捕获在已经使用积极广告技巧的成人网站上。查看网络流量,我们可以看到Rogue浏览器窗口来自哪里以及加载的内容。

弹出窗口(elthamely。com)由广告Maven AD网络推出(见上一篇文章绕过adblockers.),然后从Amazon加载资源(cloudfront。净).这已经不是第一次了cryptominer托管在AWS上,但是,通过从另一个域中检索有效载荷(hatevery.info).

我们注意到某些功能直接的功能Coinhive文档,例如.hasWASMSupport(),它检查浏览器是否支持WebAssembly,这是一种较新的格式,允许用户直接从浏览器充分利用硬件的功能。如果没有,它将恢复到较慢的JavaScript版本(asm.js).

WebAssembly模块(.wasm)下载。hatevery。信息并包含对Cryptonight的引用,用于挖掘Monero的API。如上所述,采矿正在挖掘,以对用户的机器产生适度的影响,使其在雷达下保持。

减轻

这种弹出窗口的设计是为了绕过广告拦截器,很难识别,因为它隐藏自己是多么聪明。使用“X”关闭浏览器已经不够了。更多的技术用户会想要运行任务管理器为确保没有剩余的运行浏览器进程并终止它们。或者,任务栏仍将以轻微的突出显示显示浏览器的图标,表示它仍在运行。

更多地滥用地平线

近两个月以来,自斗气的成立以来,基于浏览器的加密仍然非常受欢迎,但出于所有错误的原因。强制采矿(没有选择)是一个糟糕的做法,任何像在这个博客中详述的那样的伎俩都只是为了侵蚀一些可能在挖掘作为广告替代方案的信心。历史告诉我们,试图摆脱广告失败过,但只有时间才能判断是否有任何不同。

肆无忌惮的网站和歹徒毫无疑问继续寻求提供挖掘的方法,用户将尝试通过下载更多adblockers,扩展和其他工具来保护自己来保护自己。如果恶意不够糟糕,现在它有一个新的武器,适用于所有平台和浏览器。

妥协的指标

145.239.64.86 yourporn[。性感,成人网站54.239.168.149 elthamely[。[。]cloudfront.net,广告主的发射台54.209.216.237,hatevery[。])信息,Cryptomining网站

Cryptonight WebAssembly模块:

fd472bd04c01a13bf402775441b0224edef4c062031e292adf41e5a5897a24bc