近日,Bad Packets报告公司的研究员Troy Mursch 从美国第三大报纸“洛杉矶时报”的交互式“Homicide报告”网页上发现了加密劫持代码,这些代码悄悄的利用访客的CPU 挖掘门罗币。
Mursch指出,目前由Coinhive公司创建的密币矿机已被删除。Coinhive向网站提供门罗币Java矿机,以非传统方式让网站内容变现。
Coinhive的Java矿机软件通常被黑客悄悄的内核到网站中,然后利用网站访客的手机,平板设备和计算机的CPU处理能力挖掘门罗币。
矿机被节流攻击难检测
Mursch指出,在“洛杉矶时报”的案例中,由于矿机已被节流,因此对访客产生的影响已减弱而且难以被检测到。一般而言,加密劫持攻击不会被节流而且会使用目标100%的CPU挖矿,从而导致受害者的手机或计算机因处理器负荷过重而出现过热的情况。
Mursch指出,“访客CPU所受的影响大小因节流规模的不同而不同。在洛杉矶时报网站的案例中,因为矿机被节流到很低,因此一般用户很可能根本意识不到矿机在后台运行”。
这种节流方法似乎已奏效,加密劫持代码也隐藏了一段时间.Mursch认为Java加密劫持代码至少从2月9日起就被隐藏到了网站上。
Mursch指出,当时他在调查洛杉矶时报的亚马逊AWS S3存储桶配置不当问题。由于AWS S3存储桶配置不当,导致任何人都能将代码写入服务器和“自杀报告”网站中。
“洛杉矶时报”尚未就此事置评。
Mursch表示已通过邮件将加密劫持恶意软件事件告知“洛杉矶时报”并建议后者尽快将其删除。
挖矿软件曾劫持政府站点
Mursch指出,这款Coinhive密币挖矿软件此前多次曾被秘密用于英国和美国政府网站及其它新闻媒体网站上。本周初,来自RedLock公司的研究人员指出,特斯拉也受密币挖矿攻击,当时配置不当的亚马逊S3存储桶导致受害者将密币挖矿恶意软件植入特斯拉的云环境中.Mursch表示,没有人知道背后黑手是谁,尽管Coinhive声称已终止该软件。
“在洛杉矶时报等案例中,最容易的预防方法是确保自己的云服务如AWS得到正确的保护。”在洛杉矶时报的“应该对这种类型的攻击,Mursch建议企业正确保护云服务的安全和监控所有服务。案例中,似乎任何人都可以在他们的AWS存储桶中写入代码,从而导致攻击者将加密劫持代码写入其中。”