小心這些手機惡意挖礦軟體
長久以來,蘋果iOS系統的高安全性一直備受使用者信賴。這主要是由於蘋果對iOS開發者限制很多,且iOS不開源,因此iOS比Android手機更難被攻克。
但黑客卻很聰明,既然攻克系統這條路不好走,他們就不走這條路。
他們盯上的是你的瀏覽器——Safari。
據Check Point(美國知名網際網路安全公司)在10月15日釋出的一份報告顯示,在9月的最後兩週, 惡意挖礦軟體 針對iPhone的攻擊出現了激增,其中部分針對Safari瀏覽器使用者的攻擊也大幅增加。
報告囊括了今年最猖獗的十大惡意軟體,他們分別是:
1. Coinhive,一種加密貨幣挖礦指令碼,用於在使用者不知道的情況下或未批准的情況下訪問網頁時執行Monero加密貨幣的線上挖掘指令碼。植入的JavaScript使用終端使用者機器的大量計算資源來挖掘硬幣,並可能使系統崩潰。
2. Dorkbot,一種蠕蟲病毒,旨在允許遠端程式碼執行以及向受感染系統下載其他惡意軟體。
3. Cryptoloot,一種加密貨幣挖礦指令碼,使用受害者的CPU或GPU功率和現有資源進行加密挖掘——向區塊鏈新增交易並釋放新貨幣。它是Coinhive的競爭對手,試圖通過詢問網站收入的較低百分比來拉動它。
4. Andromeda,一種模組化機器人,主要用作後門,在受感染的主機上提供額外的惡意軟體,可以對其進行修改以建立不同型別的殭屍網路。
5. Jsecoin,一種可以嵌入網站的JavaScript礦工,類似Coinhive。
6. Roughted,一種大規模惡意廣告,用於提供各種惡意網站和有效負載,如詐騙,廣告軟體,漏洞利用工具包和勒索軟體。它可用於攻擊任何型別的平臺和作業系統,並利用廣告攔截器繞過和指紋識別,以確保它提供最相關的攻擊。
7. Ramnit,一種竊取銀行憑證,FTP密碼,會話cookie和個人資料的銀行特洛伊木馬。
8. XMRig,一個開源CPU挖掘軟體,用於Monero加密貨幣的挖掘過程,最初於2017年5月首次被發現於網路。
9. Conficker,一種允許遠端操作和惡意軟體下載的蠕蟲。受感染的計算機由殭屍網路控制,殭屍網路與其命令和控制伺服器聯絡以接收指令。
10. Emotet,一種針對Windows平臺的特洛伊木馬程式。此惡意軟體將系統資訊傳送到多個控制伺服器,並可下載配置檔案和其他元件。據報道,它針對某些銀行的客戶,並掛鉤各種API來監控和記錄網路流量。惡意軟體會建立一個Run key登錄檔項,以便在系統重新啟動後啟動。
在這些惡意軟體中,“首屈一指”的就是Coinhive。它是一種JavaScript挖礦程式,能非常容易地被整合到任何web應用程式中(比如Chrome和Safari),以此來竊取程式開啟時的裝置處理能力。
用挖礦收益替代廣告費
2017年9月14日,一款名叫Coinhive的瀏覽器工具(其實就是一個指令碼)被推出,專案的初始想法非常有創意,即通過載入該工具讓網站的擁有者直接獲得收益,收益來自使用者瀏覽網站時自動進行的加密貨幣挖礦。
也就是說,作為使用者,不論你是電腦端,還是手機端,不論你是window系統,IOS系統,還是安卓系統,只要你開始瀏覽含有Coinhive指令碼的網站,你每瀏覽一秒鐘,你的CPU就會替這個網站的所有者挖一秒鐘的礦。
該工具的作者向網站的擁有者——站長們推廣Coinhive時表示:載入Coinhive JS就可以實現盈利,它僅耗費訪問使用者的少部分CPU——這並不會影響使用者的瀏覽體驗,但卻可以為網站所有者挖取加密貨幣。有了這部分收益,網站上再也不用新增各種煩人的廣告了!
確實,如果一個網站的訪問量非常大,那麼載入這樣一種工具後,收入將變得非常可觀。尤其是一些訪問量大的視訊網站,由於使用者觀看視訊停留的時間比較長,進行挖礦的時間也就相對長,收益將非常巨大,網站也就沒有必要再去強制使用者觀看令人討厭的廣告了。
因此,在整個工具被推出後,全球知名的BT下載網站The Pirate Bay立刻試用了兩天。然而結果卻並不像Coinhive的作者描述得那麼簡單美好——由於沒有對CPU使用率進行優化,影響了瀏覽體驗,Coinhive一經載入就得到了使用者的一些負面反饋,網站隨即便停止了對該工具的使用。
黑客改造使CPU使用率飆至100%
雖然The Pirate Bay停止了對Coinhive的使用,但Coinhive巧妙的設計卻被黑客們發現了。於是,在Coinhive推出僅僅幾天後,它巧妙的設計理念就已傳遍惡意軟體社群。黑客們開始大肆地對Coinhive進行各種惡意改造和濫用。
最初,研究人員發現,Coinhive被嵌入到一個流行的名為“SafeBrowse”的Chrome擴充套件中。一旦使用者安裝了“SafeBrowse” 擴充套件,只要開始使用Chrome,後臺就會自動執行Coinhive程式碼,利用使用者的CPU幫黑客挖掘門羅幣,而使用者的CPU使用率會從平時的不到50%瞬間飆升至95%以上。
執行帶惡意指令碼的Chrome對CPU使用率的影響
幾個月內傳遍全球
沒過多久,事情便一發不可收拾,大量的網站遭到了黑客的入侵。黑客們修改了網站的原始碼,偷偷載入了Coinhive JS挖礦指令碼。這其中就包括瀏覽量巨大、訪問時長很長的Showtime電視網(美國知名付費有線電視網)。而這就發生在9月23日,距離Coinhive釋出僅僅過去了9天。
Showtime被黑客植入Coinhive指令碼程式碼
而後的幾個月,黑客又祕密地將程式碼嵌入到了一些非常流行的網站上,包括“洛杉磯時報”官網、移動裝置製造商Blackberry和Politifact。
據不完全統計,截至2018年3月,已有近32,000個網站執行Coinhive的JavaScript礦機程式碼。
在這半年多的時間裡,黑客已經把程式碼嵌入到各種令人意想不到的地方。
10月,Coinhive被發現嵌入至中國部分基礎設施網站,甚至包括工信部的某網站。
部分國內遭入侵的網站
12月,Coinhive程式碼被發現嵌入在布宜諾斯艾利斯星巴克Wi-Fi熱點的所有網頁中。
1月的大約一週時間裡,Coinhive被發現隱藏在日本、法國、義大利、西班牙和中國臺灣的YouTube廣告內(通過Google的DoubleClick平臺)。
2月,Coinhive在Textalp提供的“Browsealoud”上被發現,該服務為視障人士朗讀網頁,在美國、加拿大和英國的政府網站被廣泛使用。
也就是說,惡意挖礦指令碼Coinhive已經遍及全球。
據Check Point的報告顯示,Coinhive從去年10月開始,就一直佔據全球惡意軟體的頭號位置,並一直保持到現在。在這一年裡,Coinhive對全球組織的影響率已達19%。
挖礦軟體太狡猾,怎麼發現?
惡意挖礦軟體分兩類,一類是直接在裝置後臺執行的,這一類軟體會導致裝置忽然開始過熱、即使沒有什麼app或程式在執行CPU使用率也很高等情況,因此相對容易發現,普通安全軟體如騰訊手機管家等,很容易自動發現並將其清除。
蘋果和Google都在今年早些時候對應用店中的挖礦類軟體進行下架處理,一些被懷疑有挖礦嫌疑的軟體也遭到了下架。因此只要不去下載一些不明來源的應用,就不用怕感染這類直接在移動裝置中執行的惡意挖礦軟體。
而另一種,嵌入到網站裡的,比如Coinhive,就不那麼容易發現了。當我們投入地觀看線上視訊時,手機熱一點也不會很在意,因為看視訊本來就會消耗很多的CPU資源,手機本來就會發熱。
然而挖礦軟體導致的發熱卻與普通的發熱不同,由於佔用了CPU近100%的資源,會使手機發熱現象非常嚴重,這種發熱危險得多,甚至有導致手機爆炸的危險。
因此,如果看線上視訊導致手機嚴重發燙,而看本地視訊則沒有這個問題,那麼你就該懷疑這個網站是否被Coinhive等惡意挖礦軟體入侵了。
此時,最好停止對線上視訊網站的瀏覽和觀看,並進行一些特殊設定或者安裝特殊防護軟體了。
對於移動裝置使用的是iPhone和Safari瀏覽器的使用者,可以使用1blocker來阻止惡意的挖礦指令碼,下載地址是1blocker.com。