腾讯御见威胁情报中心:江苏、湖南等地爆发大规模网页挖矿攻击
数字货币高居不下的市场热度,正在引发越来越多的非法挖矿行为。近日,腾讯御见威胁情报中心通过腾讯电脑管家微博发布安全预警,发现一广告分发平台被恶意嵌入挖矿js脚本,被投放至正常的网页和客户端程序,该挖矿攻击在江苏、湖南地区集中爆发,挖矿页面单日访问量逼近百万次。
(挖矿攻击地区分布)
中招用户不仅沦为不法分子的挖矿“苦力”,其电脑的CPU资源也将被占用90%以上,导致电脑变慢、卡顿,直接影响系统运行。目前,腾讯电脑管家已全面拦截被植入恶意挖矿js脚本的网页,并提醒广大用户,上网时应提高警惕,随时注意电脑的异常情况。
(腾讯电脑管家拦截挖矿木马)
在对该挖矿程序的溯源分析过程中,腾讯御见威胁情报中心发现其攻击手法异常狡猾。旨在挖取门罗币的挖矿js脚本,被首先存放在国内一个名为“聚赏吧”的电商平台服务器上,随后通过特定的代码指令被嵌入进一个广告页面中,该页面再通过广告平台被投放到一些正常的网页和客户端程序,进行二次传播。当用户看到该广告页面,或者搭载其广告的网页、客户端程序在后台静默运行时(此时用户看不到广告),无论用户是否点击查看广告,均会触发挖矿代码执行。目前已发现有上千款软件受其影响,软件种类涉及用户多个电脑使用场景。
该挖矿程序不仅在传播路径上“煞费苦心”,其隐蔽更是十足。为了不被轻易发现,该挖矿脚本通过相关程序精心设置了启动概率。这意味着,当用户发现电脑卡顿、CPU占用率过高,怀疑有恶意程序运行进而进行确认时,挖矿环境并不一定重现。
更加值得关注的是,类似该挖矿木马的技术特点在当下已成为趋势。根据腾讯安全发布前不久发布的《2017年数字加密货币安全报告》显示,挖矿木马的隐藏手段逐步升级。在2017年上半年“裸奔期”,挖矿木马没有隐藏在普通软件中,而是成为僵尸网络的一个新拓展“业务”,做到了挖矿、DDoS攻击两不误;下半年开始进入“遮掩期”,挖矿木马开始隐藏到浏览器、插件、外挂辅助等普通软件进行传播;而目前挖矿木马已进入“隐身期”,不再有可执行文件落地,直接嵌入在网页中,在用户上网看小说、看视频的同时“隐身”后台偷偷干活。
而除了挖矿木马之外,勒索、盗窃也逐渐成为不法分子常用获取数字加密货币的方式。腾讯安全《2017年度 互联网 安全报告》更是指出,随着数字加密货币价格持续上涨、挖取难度不断增大、数字加密货币数量越来越少,可以预见2018年由数字加密货币而起的犯罪活动或将呈现高发态势。
腾讯电脑管家安全专家、腾讯安全反病毒实验室负责人马劲松提醒广大用户,务必提高网络安全意识,发现电脑卡慢时应立即查看CPU使用情况,若发现可疑进程可及时关闭;保持良好的上网习惯,不浏览色情、辅助等被标记为不可信的网站,不使用辅助、及来路不明的软件,使用软件前先用腾讯电脑管家等安全软件进行扫描,可有效抵御大部分网络攻击。