资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
我的关注
加密货币劫持攻击卷土重来
近期,超过3500个网站遭到入侵,攻击者悄然劫持用户浏览器挖掘门罗币(一种注重隐私的加密货币)。网络安全公司c/side于周二揭露了这场攻击活动。值得注意的是,这距离已停运的Coinhive服务关闭已近七年——该服务自2017年起推广此类攻击手法。
恶意代码运作机制
研究人员发现,恶意软件隐藏在混淆的JavaScript代码中,当用户访问受感染网站时,挖矿程序会静默部署。访问者打开被篡改的网页后,脚本会悄悄评估设备算力,随后未经用户同意便在后台启动名为"worcy"的Web Workers线程执行挖矿任务。
通过限制处理器使用率,并将通信路由伪装成常规WebSocket流量,挖矿程序成功规避检测。c/side分析师解释:"这种攻击如同数字吸血鬼,旨在长期窃取计算资源。"
攻击技术分析
攻击者通过第三方JavaScript文件植入恶意代码,该文件首先检测浏览器是否支持WebAssembly标准。确认设备适合挖矿后,才会启动隐蔽的挖矿进程,同时保持主浏览器线程不受干扰。所有指令和挖矿强度均通过WebSocket连接从C2服务器获取。
值得注意的是,托管恶意脚本的域名此前与Magecart攻击活动存在关联——该组织以窃取支付卡信息而臭名昭著,暗示当前攻击团伙可能具有网络犯罪前科。
网站漏洞利用路径
近期安全专家发现多起针对WordPress网站的客户端攻击,攻击者通过以下方式传播恶意载荷:
1. 在Google OAuth回调参数中嵌入JavaScript,建立与攻击者服务器的WebSocket连接
2. 通过Google Tag Manager注入脚本,直接修改WordPress数据库核心表
3. 篡改wp-settings.php文件,从远程服务器获取ZIP压缩的恶意载荷
部分案例中,攻击者修改主题页脚PHP脚本实施重定向,或伪装成虚假插件欺骗搜索引擎爬虫,通过内容农场操纵SEO排名。更严重的案例显示,Gravity Forms插件2.9.11.1和2.9.12版本在供应链攻击中被植入后门,可创建管理员账户并获取额外攻击载荷。
2024年秋季,美国国际开发署测试环境的管理员账户遭入侵后,攻击者利用密码喷洒攻击获取系统权限,通过Azure云基础设施创建辅助账户实施门罗币挖矿。这再次证明,即使政府机构也难逃加密货币劫持威胁。
