背景介绍

加密货币是通过让许多电脑协同工作来解决产生新的数字“货币”的复杂数学问题而运作的。这个数字运算过程被称为采矿，新的加密货币被分发给第一个解决复杂合计的矿工。人们掌握的计算机处理能力越多，他们能产生的虚拟货币就越多。
以一种大规模的分布方式使用他人设备，这对黑客们来说有着巨大的吸引力，因为他们可以有效地利用大量的计算机资源，加密货币挖掘的恶意软件并不是什么新鲜事。现有的虚拟货币的价值日益增长，以及有潜在价值的新货币的产生，驱使黑客们运行这些恶意脚本。
而就目前来看，通过入侵网站植入恶意的“挖矿”代码，利用浏览者的 CPU 挖掘数字货币的做法正变得越来越流行。近日，据外媒报道称，有安全研究人员研究发现，有近2500个网站因运行含有已知漏洞的过时软件而被攻击者入侵，植入了“挖矿”代码，并在用户不知情的情况下在其浏览器上积极进行加密货币挖掘的工作。 

独立安全研究人员Willem de Groot于本周二报告了这一最新发现，他表示，其追踪到有至少2496个站点因为仍在运行含有已知安全漏洞的过时软件，而遭到攻击者利用和控制。攻击者通过访问这些网站并植入恶意代码，暗中利用浏览者的CPU来挖掘加密数字货币。他还进一步补充道，大约80% 的网站还被植入了其它类型的恶意程序，可以窃取访问者的银行卡信息。

他表示，

很显然，网络窃贼正在努力把他们充公资产中的每一分钱都榨取出来。 

其中一个受到影响的网站就是shop.subaru.com.au。当我周二访问该网站时，活动监视器显示，大约95%的CPU负载正在被消耗。而当我关闭该网站之后，负载就下降到了9%左右。除了给我的设备带来明显的负载压力之外，该网站还从我的办公室汲取了额外的电量。如此一来，攻击者就可以在无需向我提供任何回报的情况下，从我的硬件和电力中获取利益。

根据网络安全公司Trustwave的SpiderLabs最新的一份报告估计，如果“挖矿”页面在这段时间内保持开放并持续运行的话，那么单台电脑每月消耗的电量大约为2.90-5美元不等。这一数字还不包括硬件的磨损消耗，因为它需要执行生成数字货币所需的复杂数学问题。

Coinhive遭恶意使用

研究结果表明，这些网站植入的都是 Coinhive.com 提供的脚本。据悉，Coinhive工具其实是一个Java库，用户访问加载该JS的网站后，Coinhive的JS代码库在用户的浏览器上运行，开始为网站所有者挖掘门罗币，消耗的是用户自己的CPU资源。不幸的是，在刚推出不久，它就被骗子们滥用，成为了谋利的工具。

许多网站使用Coinhive和其他的一些脚本，如JSE Coin，从他们源源不断的访问者中产生一些虚拟货币。Coinhive站点上发布的指标表明，一个网站，一个月一百万访问量将挖出价值116美元的门罗币。

研究员de Groot表示，在他跟踪到的2496个网站中有85% 被植入的脚本属于两个 Coinhive 账号。根据访问者的总数，他们在受影响网站上停留的时间以及他们电脑设备消耗的电量可见，这些账户所获取的收益可能非常可观。

其余的15%则分散在其他的Coinhive账号上，但是de Groot有证据证实，这些账户是由单个人或集团所控制的。大多数受影响的网站是通过添加一个通往域名siteverification.online的链接或一个伪造的Sucuri防火墙来隐藏与Coinhive之间的连接。

de Groot的研究结果表明，利用浏览者的 CPU 挖掘数字货币的做法正变得更加普遍，至少这种现象并没有减弱的迹象。早些时候，根据安全公司Sucuri的研究显示，发现至少500个运行过时WordPress内容管理系统的站点被黑客用于进行Coinhive挖矿活动。

针对此事，英国广播公司（BBC）已经与英国几个运行Coinhive脚本的网站进行了联系。而后者回应说，他们不知道是谁将其添加到他们网站上的。一些网站已经删除了采矿代码，更新了他们的安全政策，并在调查代码是如何被植入的。

其中一家网站在提供给英国广播公司的一份信息中说道：

我们在不知情的情况下，让一些早期用户在被黑客入侵的网站上运行了该脚本。我们已经禁止了其中的几个账户，接下来还会继续禁止一些账户，直到我们弄清这些情况。

该公司还鼓励人们举报Coinhive的恶意使用，并且表示任何使用它的网站都应该告知用户其计算机会参与到某个采矿计划中。现在，一些安全程序和广告拦截软件在遇到矿工时会向用户发出警告。
最后，研究人员建议称，用户可以使用Malwarebytes或其他防病毒程序来阻止滥用页面，安装Chrome扩展，或更新自身计算机的主机文件来阻止coinhive.com和其他已知擅自授权挖矿的网站，此外，随着这一现象的持续增长，用户还可以使用广告屏蔽工具或拦截列表来阻止挖矿脚本的运行，并记得要定期进行更新。