Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!

瀏覽網頁時,電腦變得卡卡的, CPU 使用率突然飆高?當心是挖礦程式正利用你的電腦資源挖礦!全球每天新增 300個挖礦網站,挖礦綁架無所不在,繼星巴克之後,連 Youtube 也遭殃。若您覺得電腦 CPU飆高或者發燙跑很慢,出現疑似被植入挖礦程式的跡象,您可以免費下載  PC-cillin雲端版試用版於電腦上檢測確認

濫用Google DoubleClick廣告散播,Coinhive挖礦程式翻三倍 !台灣也受影響

趨勢科技發現 Coinhive 網頁式挖礦程式的偵測數量因某波惡意廣告行動而突然翻了三倍。我們發現,這些出現在高流量網站上的惡意廣告不僅使用了 Coinhive 挖礦程式 (趨勢科技命名為:JS_COINHIVE.GN),還使用了另一個連結到某私人礦池的網頁式挖礦程式。駭客利用了 Google 的網路廣告服務 DoubleClick 來散布其惡意程式。根據趨勢科技 Smart Protection Network™ 所看到的資料顯示,此波受影響的國家包括:日本、法國、台灣、義大利和西班牙,趨勢科技已將研究發現通報給 Google。另一方面,YouTube 也向媒體證實該站廣告被嵌入Coinhive 挖礦程式。YouTube表示已將相關廣告封鎖。為何針對 Youtube? 駭客應該是看準用戶通常看影片時停留較長時間,有更多時間挖掘加密虛擬貨幣。

延伸閱讀:惡意廣告暗藏採礦程式,一點就中! 重導向購物網站,用戶渾然不知

趨勢科技分析了含有惡意廣告的網頁,發現網頁被嵌入了兩段不同的挖礦腳本,其中一段是插入來自 DoubleClick 的廣告。雖然這些網頁所顯示的是正常廣告,但背後卻有這兩個挖礦程式在暗中執行。我們猜測,相較於入侵個別裝置,歹徒透過這些正常合法的網站廣告反而更能增加受害者數量。上述虛擬貨幣挖礦程式的流量在 1 月 24 日之後已經減少。

濫用Google DoubleClick廣告散播,Coinhive挖礦程式翻三倍 !台灣也受影響

圖 1:惡意廣告行動的活動量變化 (1 月 18 至 24 日)。 繼續閱讀

攻擊者利用 Struts和 DotNetNuke 伺服器漏洞,進行數位貨幣挖礦攻擊

最近幾個月來,惡意份子已經將數位貨幣挖礦視作可行的賺錢方式。挖礦攻擊利用使用者的電腦運算能力來挖掘各種數位貨幣,最常見的是利用惡意軟體或被駭網站。透過入侵伺服器來執行挖礦程式可以讓惡意份子得到更多的運算能力,並從非法挖礦中賺取更多利潤。

趨勢科技在最近幾週注意到針對CVE-2017-5638Apache Struts的漏洞)和CVE-2017-9822DotNetNuke的漏洞)的攻擊次數顯著地增加。這些漏洞的修補程式都已經釋出。這些漏洞存在於開發者常用於建構網站的Web應用程式內,所以可能出現在許多伺服器上。2017年的大規模Equifax資料外洩事件也跟Struts漏洞有關。

我們認為這些攻擊的幕後黑手是同一個,因為這些網站都指向同個網域來下載門羅幣挖礦程式,也都指向同一個門羅幣地址。這地址已經收到了30個門羅幣(XMR),以2018年1月中的匯率來看約等於12,000美元。

 

分析

攻擊上述漏洞的惡意HTTP請求被發送到目標伺服器。這些HTTP請求包含編碼過的腳本程式。上述漏洞被利用來在受影響的Web伺服器執行這程式。使用多層混淆技術的程式碼可以讓分析和偵測變得更加困難。Windows和Linux系統都成為了這波攻擊的目標。

一旦將混淆過的程式碼完全解碼後就會找到這波攻擊活動的最終目標。程式碼最終會下載惡意軟體:一個門羅幣挖礦程式。

圖1和2、發送到目標伺服器的HTTP請求,分別針對了Struts和DotNetNuke漏洞

繼續閱讀

惡意廣告暗藏採礦程式,一點就中! 重導向購物網站,用戶渾然不知

有用戶反應在看 Youtube 的時候,電腦效能變差,原因是 Youtube 上的廣告被發現內含挖礦惡意程式 Coinhive ,也就是說,當你在看 Youtube 影片的同時,你的電腦或手機也默默的成為了不法駭客的「礦工」,幫他挖礦賺外快!

宣稱是第一個可以使用手機開採的數位加密貨幣的 Electroneum 數位加密貨幣 (簡稱 ETN),遭受數位加密貨幣採礦程式的攻擊。一些會在背後載入惡意廣告的網站專門提供一些好康優惠給訪客,使用者一旦點選惡意廣告,它就會在背後載入 ETN 網頁採礦程式,同時將使用者重導至一個正常的購物網站以免被使用者發現。
根據 Alexa 指出,這些惡意廣告所在網站皆名列全球 15,000 大網站,意味著這些惡意網站不乏使用者造訪。

近年來,數位加密貨幣採礦惡意程式一直在不斷成長。由於數位加密貨幣的市值不斷上升、接納度也不斷提高,讓網路犯罪集團有更多理由盯上這類網路貨幣。光去年 11月就出現了多起針對不同數位加密貨幣的攻擊。而且,網路犯罪集團似乎開始將目標轉向一些較新的數位加密貨幣。趨勢科技近期發現大量針對 Electroneum 數位加密貨幣的網頁採礦程式活動。

ETN 宣稱是第一個可以使用手機開採的數位加密貨幣

英國 Electroneum 數位加密貨幣 (簡稱 ETN) 發行於 2017 年 9 月,是一種不需強大、昂貴硬體設備就能開採的網路貨幣。該公司宣稱 ETN 是第一個可以使用手機開採的數位加密貨幣,只需安裝一個名為「Mobile Mining Experience」的手機應用程式 (截稿之前,此功能仍未開放)。

儘管 ETN 才剛起步,但這並未讓它免於數位加密貨幣採礦程式的攻擊。從 12 月 14 日至今,趨勢科技一直在持續監控一些會在背後載入惡意廣告的網站。這些網站專門提供一些好康優惠給訪客,例如:hXXps://www.intactoffers.club/s/hXXps://www.fantasticoffers.club/s/ 這兩個網站即是,從其網域名稱即可看出。

使用者一旦點選惡意廣告,它就會在背後載入 ETN 網頁採礦程式,同時將使用者重導至一個正常的購物網站以免被使用者發現。 繼續閱讀