导语:谁能想到,这挖矿代码竟然是藏在了任务栏里...

目前安全研究人员发现一种隐藏在网站中的新型挖矿脚本。这个脚本使用一个微小窗口隐藏在用户电脑系统任务栏下方,访问电脑硬件来进行挖掘。更为恐怖的是即使浏览器被关闭后这个挖矿脚本仍然运行。主要研究Malwarebytes的Jerome Segura发现,这种隐藏式操作的幕后黑手利用了一种被称为“pop-under”的策略,这一技巧可以让其产生一个与主浏览器分离的新窗口。

网站运营商将弹出窗口隐藏在Windows任务栏下

使用JavaScript代 码,还可以让网站所有者在用户的屏幕上设置这个窗口的大小和坐标(位置)。据Segura所说,一个成人门户网站使用了下面的公式来动态计算这个新窗口的位置。

Horizontal position = (current screen width) – 100px
Vertical position = (current screen height) – 40px

对于大多数用户来说,这一操作会显示一个小窗口,隐藏在Windows任务栏下。然后,网络犯罪者会在这个隐藏的窗口中加载一个JavaScript文件。这个文件是Coinhive隐身浏览器挖矿的一个定制版本,这个脚本可以利用用户的CPU资源来为网络犯罪者挖掘Monero加密货币。

挖矿窗口很难被识别,但很容易清除掉

除非用户将启用了透明操作系统界面,或者自己主动在任务管理器中查找流氓进程,否则他们将没有机会发现这个隐藏的窗口。此外,与大多数其他隐藏性的恶意代码不同的是,该脚本并没有利用用户的全部CPU资源,而是将其活动限制在更低的值上,以期不会导致用户计算机运行速度的减慢。根据Segura的说法,如果用户发现计算机存在异常,他们可以使用Windows任务管理器来关掉与此窗口相关的流氓浏览器进程,或者调整Windows任务栏的大小,并迫使隐藏的窗口变得可见。

 图片3.png

图片4.png 

目前为止,仅在一个网站上发现这种挖矿脚本

在撰写本文时,该脚本似乎只适用于Chrome浏览器,并且只在一个yourporn[.]sexy色情网站上被发现。Malwarebytes在本月早些时候发布的一份报告中提到,它的安全产品每天都要阻止800万次的加密劫持服务。大多数安全产品和广告拦截浏览器插件都支持阻止隐身浏览器的挖矿操作。自9月中旬以来,我们已经跟踪了大多数主要的加密劫持事件,在推出Coinhive服务之后,这种类型的攻击变得再次流行起来。在2010年初,当挖掘Bitcoin仍然有利可图时,美国当局介入,并关闭了一项与此类似叫做Tidbit的服务。

源链接

Hacking more

...