一场新型攻击活动已导致全球 3500 余个网站被植入 JavaScript 加密货币挖矿程序。这标志着曾因 CoinHive 等平台而盛行的浏览器劫持挖矿攻击再度抬头。
尽管 CoinHive 已因浏览器厂商采取措施禁止挖矿相关应用及插件而关闭,但 c/side 的研究人员发现,一种隐蔽的挖矿程序被包裹在混淆后的 JavaScript 中 —— 它会评估设备的计算能力,并启动后台 Web Workers 以并行执行挖矿任务,整个过程难以被察觉。
更值得注意的是,该活动利用 WebSocket 从外部服务器获取挖矿任务,从而根据设备性能动态调整挖矿强度,并相应地限制资源消耗以保持隐蔽性。
安全研究员希曼舒・阿南德表示:“这是一种隐蔽的挖矿程序,通过保持在用户和安全工具的雷达之下以避免被检测。”
这种攻击的直接后果是,用户在浏览被入侵网站时会在不知情的情况下进行加密货币挖矿,他们的电脑变成了秘密的加密货币生成工具。目前,网站被入侵以实施浏览器内挖矿的具体方式尚不明确。
进一步分析显示,超过 3500 个网站陷入了这场大规模非法挖矿活动。托管该 JavaScript 挖矿程序的域名过去还与 Magecart 信用卡窃取器有关联,这表明攻击者试图多样化其攻击载荷和收入来源。
同一域名既用于分发挖矿程序,又用于传输信用卡信息窃取脚本,这显示威胁 actors 具备利用 JavaScript 发动 opportunistic 攻击、针对毫无防备的网站访客的能力。
c/side 指出:“攻击者现在更注重隐蔽性而非暴力窃取资源,他们通过混淆技术、WebSocket 和重复利用基础设施来隐藏行踪。其目标不是瞬间耗尽设备资源,而是像数字吸血鬼一样长期持续地窃取资源。”
这一发现与另一项 Magecart 窃取活动相呼应 — 该活动针对使用 OpenCart 内容管理系统(CMS)的东亚电商网站,在结账过程中注入虚假支付表单,收集包括银行信息在内的用户财务数据,然后将这些信息发送至攻击者的服务器。
近几周,客户端和网站定向攻击呈现出多种形式:
-
利用 JavaScript 嵌入,滥用与谷歌 OAuth 合法端点(“accounts.google .com/o/oauth2/revoke”)相关的回调参数,重定向至一个混淆后的 JavaScript 载荷,该载荷会与攻击者控制的域名建立恶意 WebSocket 连接。
-
直接向 WordPress 数据库(即 wp_options 和 wp_posts 表)注入谷歌标签管理器(GTM)脚本,加载远程 JavaScript 以将访客重定向至 200 余个垃圾网站。
-
入侵 WordPress 网站的 wp-settings.php 文件,从 ZIP 压缩包中加载恶意 PHP 脚本,该脚本会连接至命令与控制(C2)服务器,并最终利用网站的搜索引擎排名注入垃圾内容,提升其可疑网站的搜索排名。
-
向 WordPress 网站主题的页脚 PHP 脚本注入恶意代码,实施浏览器重定向。
-
使用以受感染域名命名的伪造 WordPress 插件来逃避检测,且仅在检测到搜索引擎爬虫时才激活,以推送用于操纵搜索结果的垃圾内容。
-
通过供应链攻击,在官方下载页面分发植入后门的 WordPress 插件 Gravity Forms(仅影响 2.9.11.1 和 2.9.12 版本),该插件会联系外部服务器获取额外载荷,并添加一个管理员账户,使攻击者完全控制网站。
Gravity Forms 的开发团队 RocketGenius 表示:“若安装了这些恶意代码,它会阻止程序更新,并试图连接外部服务器下载额外载荷。一旦成功执行该载荷,它会尝试添加一个管理员账户,这为攻击者打开了后门,使其可能实施一系列恶意行为,如扩大远程访问权限、注入更多未授权的任意代码、操纵现有管理员账户以及获取 WordPress 存储的数据。”
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
