Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!

瀏覽網頁時,電腦變得卡卡的, CPU 使用率突然飆高?當心是挖礦程式正利用你的電腦資源挖礦!全球每天新增 300個挖礦網站,挖礦綁架無所不在,繼星巴克之後,連 Youtube 也遭殃。若您覺得電腦 CPU飆高或者發燙跑很慢,出現疑似被植入挖礦程式的跡象,您可以免費下載  PC-cillin雲端版試用版於電腦上檢測確認

濫用Google DoubleClick廣告散播,Coinhive挖礦程式翻三倍 !台灣也受影響

趨勢科技發現 Coinhive 網頁式挖礦程式的偵測數量因某波惡意廣告行動而突然翻了三倍。我們發現,這些出現在高流量網站上的惡意廣告不僅使用了 Coinhive 挖礦程式 (趨勢科技命名為:JS_COINHIVE.GN),還使用了另一個連結到某私人礦池的網頁式挖礦程式。駭客利用了 Google 的網路廣告服務 DoubleClick 來散布其惡意程式。根據趨勢科技 Smart Protection Network™ 所看到的資料顯示,此波受影響的國家包括:日本、法國、台灣、義大利和西班牙,趨勢科技已將研究發現通報給 Google。另一方面,YouTube 也向媒體證實該站廣告被嵌入Coinhive 挖礦程式。YouTube表示已將相關廣告封鎖。為何針對 Youtube? 駭客應該是看準用戶通常看影片時停留較長時間,有更多時間挖掘加密虛擬貨幣。

延伸閱讀:惡意廣告暗藏採礦程式,一點就中! 重導向購物網站,用戶渾然不知

趨勢科技分析了含有惡意廣告的網頁,發現網頁被嵌入了兩段不同的挖礦腳本,其中一段是插入來自 DoubleClick 的廣告。雖然這些網頁所顯示的是正常廣告,但背後卻有這兩個挖礦程式在暗中執行。我們猜測,相較於入侵個別裝置,歹徒透過這些正常合法的網站廣告反而更能增加受害者數量。上述虛擬貨幣挖礦程式的流量在 1 月 24 日之後已經減少。

濫用Google DoubleClick廣告散播,Coinhive挖礦程式翻三倍 !台灣也受影響

圖 1:惡意廣告行動的活動量變化 (1 月 18 至 24 日)。

合法網站與合法廣告之間的注入流程。

圖 2:合法網站與合法廣告之間的注入流程。

廣告當中含有一段 JavaScript 程式碼會產生一個 1 至 101 的隨機數字。當產生的數字超過 10,就會呼叫「coinhive.min.js 」來使用 80% 的 CPU 效能進行挖礦,這段程式有 90% 的機率會執行,其餘的 10% 則是啟動另一個私人網頁式挖礦程式。兩者在挖礦時會將其 CPU 使用量調節在 80% 左右。

廣告當中內嵌了一個挖礦程式以及一段用來接收廣告的腳本。

圖 3:廣告當中內嵌了一個挖礦程式以及一段用來接收廣告的腳本。

經過解碼之後,那個私人網頁式挖礦程式會呼叫「mqoj_1.js」但仍有一部分 JavaScript 程式碼是以 Coinhive 為基礎。修改過的挖礦程式會連上另一個礦池:「wss://ws.l33tsite.info:844」。這是為了規避 Coinhive 所收取的 30% 傭金。

修改過的網頁式挖礦程式 (左) 與原始的 Coinhive 挖礦程式 (右)。

圖 4:修改過的網頁式挖礦程式 (左) 與原始的 Coinhive 挖礦程式 (右)。

私人網頁式挖礦程式的設定細節。

圖 5:私人網頁式挖礦程式的設定細節。

防範之道

避免瀏覽器執行 JavaScript 應用程式,就能防止 Coinhive 挖礦程式使用 CPU 資源。定期修補、定期更新軟體,尤其是網頁瀏覽器,也能降低數位虛擬加密貨幣挖礦程式的影響,並防範其他威脅攻擊系統漏洞。

趨勢科技 趨勢科技Smart Protection Suites  和 Worry-Free Pro可有效偵測並攔截惡意檔案和所有相關網址來保護一般使用者和企業以防範上述威脅。此外,趨勢科技 趨勢科技 Smart Protection Suites 還具備高準度機器學習、網站信譽評等、行為監控、應用程式控管等功能,可有效防範這類虛擬貨幣挖礦程式以其他威脅。

🔴延伸閱讀:
趨勢科技 PC-cillin 2018 防毒軟體雲端版好強大!跟偷挖礦、勒索病毒說掰掰

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位

入侵指標 (IoC)

SHA256 雜湊碼 (趨勢科技命名為:JS_COINHIVE.GN)
e72737a8cf29eeae795a3918e56c07b4efa2e9ce241ec56053d6a95f878be231
296d081b6b0a6d1a09b5c54c35392a4d2ea0bec9a0c99e6351374628b713d8ed
惡意網域 說明
doubleclick1.xyz 惡意廣告網域
doubleclick2.xyz 惡意廣告網域
doubleclick3.xyz 惡意廣告網域
doubleclick4.xyz 惡意廣告網域
doubleclick5.xyz 惡意廣告網域
doubleclick6.xyz 惡意廣告網域
api.l33tsite.info 私人網頁式挖礦程式網域
ws.l33tsite.info 私人網頁式挖礦程式網域

原文出處:Malvertising Campaign Abuses Google’s DoubleClick to Deliver Cryptocurrency Miners 作者:Chaoying Liu 與 Joseph C. Chen 

 

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

▼ 歡迎加入趨勢科技社群網站▼

好友人數