iPhone用户也要注意!恶意挖矿软件暴增400%,你中招了没?
作者:嘴遁
长久以来,苹果iOS系统的高安全性一直备受用户信赖。这主要是由于苹果对iOS开发者限制很多,且iOS不开源,因此iOS比Android手机更难被攻克。
但黑客却很聪明,既然攻克系统这条路不好走,他们就不走这条路。
他们盯上的是你的浏览器——Safari。
据Check Point(美国知名互联网安全公司)在10月15日发布的一份报告显示,在9月的最后两周,恶意挖矿软件针对iPhone的攻击出现了激增,其中部分针对Safari浏览器用户的攻击也大幅增加。
报告囊括了今年最猖獗的十大恶意软件,他们分别是:
1. Coinhive,一种加密货币挖矿脚本,用于在用户不知道的情况下或未批准的情况下访问网页时执行Monero加密货币的在线挖掘脚本。植入的JavaScript使用最终用户机器的大量计算资源来挖掘硬币,并可能使系统崩溃。
2. Dorkbot,一种蠕虫病毒,旨在允许远程代码执行以及向受感染系统下载其他恶意软件。
3. Cryptoloot,一种加密货币挖矿脚本,使用受害者的CPU或GPU功率和现有资源进行加密挖掘——向区块链添加交易并释放新货币。它是Coinhive的竞争对手,试图通过询问网站收入的较低百分比来拉动它。
4. Andromeda,一种模块化机器人,主要用作后门,在受感染的主机上提供额外的恶意软件,可以对其进行修改以创建不同类型的僵尸网络。
5. Jsecoin,一种可以嵌入网站的JavaScript矿工,类似Coinhive。
6. Roughted,一种大规模恶意广告,用于提供各种恶意网站和有效负载,如诈骗,广告软件,漏洞利用工具包和勒索软件。它可用于攻击任何类型的平台和操作系统,并利用广告拦截器绕过和指纹识别,以确保它提供最相关的攻击。
7. Ramnit,一种窃取银行凭证,FTP密码,会话cookie和个人数据的银行特洛伊木马。
8. XMRig,一个开源CPU挖掘软件,用于Monero加密货币的挖掘过程,最初于2017年5月首次被发现于网络。
9. Conficker,一种允许远程操作和恶意软件下载的蠕虫。受感染的计算机由僵尸网络控制,僵尸网络与其命令和控制服务器联系以接收指令。
10. Emotet,一种针对Windows平台的特洛伊木马程序。此恶意软件将系统信息发送到多个控制服务器,并可下载配置文件和其他组件。据报道,它针对某些银行的客户,并挂钩各种API来监控和记录网络流量。恶意软件会创建一个Run key注册表项,以便在系统重新启动后启动。
在这些恶意软件中,“首屈一指”的就是Coinhive。它是一种JavaScript挖矿程序,能非常容易地被集成到任何web应用程序中(比如Chrome和Safari),以此来窃取程序打开时的设备处理能力。
用挖矿收益替代广告费
2017年9月14日,一款名叫Coinhive的浏览器工具(其实就是一个脚本)被推出,项目的初始想法非常有创意,即通过加载该工具让网站的拥有者直接获得收益,收益来自用户浏览网站时自动进行的加密货币挖矿。
也就是说,作为用户,不论你是电脑端,还是手机端,不论你是window系统,IOS系统,还是安卓系统,只要你开始浏览含有Coinhive脚本的网站,你每浏览一秒钟,你的CPU就会替这个网站的所有者挖一秒钟的矿。
该工具的作者向网站的拥有者——站长们推广Coinhive时表示:加载Coinhive JS就可以实现盈利,它仅耗费访问用户的少部分CPU——这并不会影响用户的浏览体验,但却可以为网站所有者挖取加密货币。有了这部分收益,网站上再也不用添加各种烦人的广告了!
确实,如果一个网站的访问量非常大,那么加载这样一种工具后,收入将变得非常可观。尤其是一些访问量大的视频网站,由于用户观看视频停留的时间比较长,进行挖矿的时间也就相对长,收益将非常巨大,网站也就没有必要再去强制用户观看令人讨厌的广告了。
因此,在整个工具被推出后,全球知名的BT下载网站The Pirate Bay立刻试用了两天。然而结果却并不像Coinhive的作者描述得那么简单美好——由于没有对CPU使用率进行优化,影响了浏览体验,Coinhive一经加载就得到了用户的一些负面反馈,网站随即便停止了对该工具的使用。
黑客改造使CPU使用率飙至100%
虽然The Pirate Bay停止了对Coinhive的使用,但Coinhive巧妙的设计却被黑客们发现了。于是,在Coinhive推出仅仅几天后,它巧妙的设计理念就已传遍恶意软件社区。黑客们开始大肆地对Coinhive进行各种恶意改造和滥用。
最初,研究人员发现,Coinhive被嵌入到一个流行的名为“SafeBrowse”的Chrome扩展中。一旦用户安装了“SafeBrowse” 扩展,只要开始使用Chrome,后台就会自动执行Coinhive代码,利用用户的CPU帮黑客挖掘门罗币,而用户的CPU使用率会从平时的不到50%瞬间飙升至95%以上。
运行带恶意脚本的Chrome对CPU使用率的影响
几个月内传遍全球
没过多久,事情便一发不可收拾,大量的网站遭到了黑客的入侵。黑客们修改了网站的源代码,偷偷加载了Coinhive JS挖矿脚本。这其中就包括浏览量巨大、访问时长很长的Showtime电视网(美国知名付费有线电视网)。而这就发生在9月23日,距离Coinhive发布仅仅过去了9天。
Showtime被黑客植入Coinhive脚本代码
而后的几个月,黑客又秘密地将代码嵌入到了一些非常流行的网站上,包括“洛杉矶时报”官网、移动设备制造商Blackberry和Politifact。
据不完全统计,截至2018年3月,已有近32,000个网站运行Coinhive的JavaScript矿机代码。
在这半年多的时间里,黑客已经把代码嵌入到各种令人意想不到的地方。
10月,Coinhive被发现嵌入至中国部分基础设施网站,甚至包括工信部的某网站。
部分中国遭入侵的网站
12月,Coinhive代码被发现嵌入在布宜诺斯艾利斯星巴克Wi-Fi热点的所有网页中。
1月的大约一周时间里,Coinhive被发现隐藏在日本、法国、意大利、西班牙和中国台湾的YouTube广告内(通过Google的DoubleClick平台)。
2月,Coinhive在Textalp提供的“Browsealoud”上被发现,该服务为视障人士朗读网页,在美国、加拿大和英国的政府网站被广泛使用。
也就是说,恶意挖矿脚本Coinhive已经遍及全球。
据Check Point的报告显示,Coinhive从去年10月开始,就一直占据全球恶意软件的头号位置,并一直保持到现在。在这一年里,Coinhive对全球组织的影响率已达19%。
挖矿软件太狡猾,怎么发现?
恶意挖矿软件分两类,一类是直接在设备后台运行的,这一类软件会导致设备忽然开始过热、即使没有什么app或程序在运行CPU使用率也很高等情况,因此相对容易发现,普通安全软件如腾讯手机管家等,很容易自动发现并将其清除。
苹果和Google都在今年早些时候对应用店中的挖矿类软件进行下架处理,一些被怀疑有挖矿嫌疑的软件也遭到了下架。因此只要不去下载一些不明来源的应用,就不用怕感染这类直接在移动设备中运行的恶意挖矿软件。
而另一种,嵌入到网站里的,比如Coinhive,就不那么容易发现了。当我们投入地观看在线视频时,手机热一点也不会很在意,因为看视频本来就会消耗很多的CPU资源,手机本来就会发热。
然而挖矿软件导致的发热却与普通的发热不同,由于占用了CPU近100%的资源,会使手机发热现象非常严重,这种发热危险得多,甚至有导致手机爆炸的危险。
因此,如果看在线视频导致手机严重发烫,而看本地视频则没有这个问题,那么你就该怀疑这个网站是否被Coinhive等恶意挖矿软件入侵了。
此时,最好停止对在线视频网站的浏览和观看,并进行一些特殊设置或者安装特殊防护软件了。
对于移动设备使用的是iPhone和Safari浏览器的用户,可以使用1blocker来阻止恶意的挖矿脚本,下载地址是1blocker.com。
而对于安卓设备,嘿嘿,问小编吧。