骇客也抢赚加密货币挖矿财,2017 年开始出现大量的网页式恶意挖矿程式,埋在热门网站里利用用户电脑资源挖矿,让人防不胜防。不只是电脑,趋势科技便指出,如果常觉得手机速度好像越来越慢或是电池常发烫,可能已成为骇客的免费挖矿工。
网页挖矿程式以 Coinhive 为首,色情类网站最危险
趋势科技资深技术顾问简胜财指出,过去恶意挖矿程式多以木马程式的形式进驻用户电脑偷挖矿,但从 2017 年起,透过 Javascript 执行的网页式挖矿程式越来越多,甚至伴随恶意广告大规模散布。12 日也传出包含英、美政府等 4,200 个网站,皆被植入恶意挖矿程式码。
什么是网页式挖矿程式?以市占率最高的 Coinhive 为例,其将挖取门罗币的程式打包在浏览器端的 Javascript 中,网站业者只要在自家网站嵌入 Coinhive 程式码,就能利用用户电脑运算力挖取门罗币。Coinhive 希望网站业者可用这笔收入取代在网站植入广告的收入,一方面也提高用户体验,而 Coinhive 则从中抽三成。
尽管 Coinhive 提醒不要在未提示用户的情况下使用该服务,但事实上,Coinhive 已被多个网站滥用,偷偷盗取用户电脑运算资源。根据 AdGuard 研究报告,有近 10 亿名串流媒体网站的访客被秘密地用在挖矿活动。
根据奇虎 360 旗下的网络安全研究实验室(Network Security Research Lab,Netlab)调查,Alexa Top 30 万的网站中,有 629(0.21%)网站在首页嵌入挖矿程式码,其中色情相关网站是主体,占整体 49%,其他还有诈骗(8%)、广告(7%)、挖矿(7%)、影视(6%)等类别,且部分内容网站还会嵌入 2 个或更多挖矿网站。
挖矿程式不只嵌入网页,趋势科技发现,有骇客利用 Google 网络广告服务 DoubleClick 来散布挖矿恶意程式,也让 Coinhive 挖矿程式数量突然成长 3 倍,受害地区包括日本、法国、台湾、意大利与西班牙。
防堵网页挖矿绑架,学会 3 招自保
趋势科技指出,只要避免浏览器执行 JavaScript 应用程序,就能防止 Coinhive 挖矿程式使用 CPU 资源。此外,定期修补、定期更新软件,尤其是网页浏览器,也能降低加密货币挖矿程式的影响。
不只是电脑,手机同样会受网页式挖矿程式影响,但更难察觉。简胜财建议,可用有网页过滤机制的防毒应用程序加以防范。此外,趋势科技也推出浏览器 App“Trend Micro Zero”,可阻挡内嵌挖矿程式,降低装置电量耗损,但目前仅有 iOS 版本。
(本文由 数位时代 授权转载;首图来源:pixabay)
延伸阅读:
- 恶意挖矿程式乱窜,4,200 个英美政府网站中标!用户傻傻帮骇客挖币
