加密货币劫持的下一阶段：新型犯罪如何演变_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

加密货币劫持的下一阶段：新型犯罪如何演变

2018-01-06 09:00:00

加密货币劫持：隐秘的挖矿威胁

加密货币劫持是指未经用户同意，秘密利用其设备资源进行加密货币挖矿的行为。这种攻击有多种形式，包括浏览器内挖矿、被黑应用程序和后台恶意软件等。

加密货币劫持的兴起与发展

2017年9月，随着Coinhive提供其JavaScript代码作为常规广告的替代方案，加密货币劫持开始流行。其原理很简单：网站在其页面中添加特殊代码，当用户访问该网站时，他们的浏览器就会运行Coinhive代码，其主要目的是执行加密货币挖矿所需的数学计算。这个过程会大量消耗计算机资源，导致CPU使用率飙升并达到最大负载。

一些大型网站试图通过Coinhive将其流量变现，但遭到了不希望自己机器和CPU过载的用户的负面评价。最糟糕的是，这种浏览器内挖矿是在用户不知情且无法选择退出的情况下秘密进行的。尽管Coinhive后来发布了AuthedMine，它会在进行浏览器内挖矿前征求访问者的同意，但许多网络犯罪分子已经掌握了要领，并开始在他们的操作中使用Coinhive。

加密货币劫持的演变

随着黑客们从部署勒索软件转向投放挖矿程序，曾经最赚钱的勒索软件负载已经不如加密货币劫持有利可图。他们最常使用的方法是通过被黑网站进行挖矿。

恶意软件研究人员开始追踪加密货币劫持，并提供了有关其自9月以来如何演变的新闻。这第一阶段加密货币劫持攻击显示了各种不良行为者对该领域日益增长的兴趣。

最初，黑客主要将包含其网站密钥（从Coinhive获得的用户ID）的Coinhive代码插入被黑网站。有时他们将Coinhive挖矿程序注入网站头部，一些犯罪分子甚至成功入侵WordPress插件并将恶意挖矿程序放入其中。结果，所有使用这些插件的网站都开始同时挖矿并将门罗币发送到黑客的钱包中。

规避检测的技术手段

由于Coinhive网络域名被列入多个黑名单，网络犯罪分子开始避免连接到位于coinhive.com/lib/coinhive.min.js的库文件。为此，他们将该文件放置在多个第三方网站上。一些规避coinhive.com的尝试相当简单，例如将整个库代码（重量达几十KB）注入网站。

无论如何，将Coinhive库代码（即使被混淆）提交到另一个网站仍然涉及向Coinhive的域名发出请求，因此发现和阻止此类攻击非常简单。然而，后来黑客开始采用更严重的混淆技术。

恶意软件托管与自定义挖矿程序

至于托管他们的恶意软件，犯罪分子开始利用大多数开发者中流行的免费服务和工具，如Now.sh、Heroku，当然还有GitHub。

然而，Coinhive并不是将加密货币挖矿程序放置在网站上的唯一手段。实际的技术诀窍是公开的知识，因此许多黑客创建了他们自己独特的应用程序，包括挖矿平台，以进行加密货币劫持。

显然，自托管应用程序比Coinhive的挖矿程序或其替代品更有优势。最终，它们对攻击者来说更具可调整性。通过使用自己的域名（每次需要时更改），它们可以帮助攻击者避开黑名单。你可以根据自己的喜好配置整个系统，从而使其与攻击计划最佳配合。此外，犯罪分子避免了向Coinhive等解决方案支付费用（Coinhive的费用约为30%）。