小心! 以Web為本的加密貨幣掘礦程式是惡意程式

CorporateBitcoinCoinHivecyptominermalwareMoneroPUAs

在受影響機構不知的情況下,在其瀏覽器運行加密貨幣掘礦(Cryptominer)是寄生性的,應視之為惡意軟體處理。

SophosLabs

作者: BILL BRENNER

 

合法的加密貨幣掘礦程式會詢問用戶的准許以在其系統運行,而惡意的版本則否,靜俏俏的挪用電腦資源進行掘礦。SophosLabs發現大多掘礦程式是後者,而且更有一番變裝:

它們並不以可執行檔姿態出現,而是以腳本形式隱藏於網站中,在瀏覽器中進行加密貨幣掘礦。網站訪客不會察覺到掘礦的證據,唯一的蛛絲馬跡是電腦異常地變慢和散熱扇高速運轉。

顯而易見的例子是Coinhive,這門羅幣(Monero)掘礦程式在今年9月中首度出現,而隨著加密貨幣價值瘋狂飆升,這些藏有掘礦程式的網站的數量在最近幾個星期都穩步上升。

由於其寄生性質,Sophos決定開始把Coinhive和其他基於JavaScript加密貨幣掘礦程式標籤作惡意軟體,當用戶遇上嵌入它們的網站,即被阻擋。

Sophos首先技術官Joe Levy解釋道:

當這軟體在未得某機構的許可下,這軟體在用戶的瀏覽器運行,這是寄生性的;我們將之視作惡意軟體,因當今還沒有稱作寄生軟體(parasiteware) 的東西。比如當某機構真的需要貢獻CPU/GPU指令周期,而掘礦運作可發展至足以讓像我們的廠商可輕易分辨經許可和未經許可的程度,這樣我們可展開不同分類的討論。

加密貨幣掘礦的惡果

加密貨幣掘礦是用作發掘Bitcoin,Monero和其他加密貨幣(如Ethereum和Litecoin)的過程。它需要大量電腦運算能力,會減慢性能並損耗電腦。

本來這不構成問題因大多數人選擇進行掘礦工作,但當加密貨幣價格飆升,這情況開始有變。在2017年始一個Bitcoin只值1000美元,而年末而暴漲至17000美元。

網路小偷知悉這機會並開始利用加密貨幣掘礦程式牟利。

如前所述,JavaScript掘礦程式如Coinhive被加入網站並在瀏覽器上運行,盜用訪客的CPU生成加密貨幣。用戶可能會察覺到性能變低,CPU用量飆升,電量比平時消耗得快。

Coinhive都在移動設備運作,用戶在短期內會察覺到設備溫度顯著上升。

 

Coinhive腳本數量隨著加密貨幣價格上升

隨著加密貨幣(如Bitcoin(BTC)和Monero(XMR))在最近幾個月飆升,SophosLabs錄得使用Coinhive腳本的網站數量穩步增加。

以下是Coinhive比較於BTC和XMR價格的趨勢:

Coinhive定位自己為廣告收入的另類來源

著名的torrent網站The Pirate Bay是其中一個利用這代碼而不曾告訴訪客它正使用他們的瀏覽器採掘加密貨幣的網站之一。

這類活動促使Sophos不得不採取更強硬的立場。

 

由PUA到惡意軟體

如上所述,我們之前把掘礦程式偵測為PUA(潛在不需要應用程式),所以不會自動清除之。系統管理員會收到PUA發現警報,可手動選擇清除、授權或知悉。

至於Coinhive和其他相似基於web的JavaScript腳本掘礦程式的情況則不同,採用Web控制的客戶將即時見到以下畫面:

如何是好

Sophos客戶可利用Endpoint和Network Protection方案的Web控制功能阻擋掘礦程式。

一旦開啟這功能,歸類為”駭入”的網站將被阻擋,阻止用戶訪問這些侵略性網站。

客戶可閱覽我們的知識庫Knowledge Base文章以了解更多關於如何阻擋JavaScript加密貨幣掘礦程式的詳情。

 

英文原文:  https://news.sophos.com/en-us/2017/12/19/web-based-cryptominers-are-malware/

(本博文為翻譯本,內容以英文原文為準)

 

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

w

連結到 %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.