惡意軟件正在瞄準加密貨幣挖礦行業(yè)

加密貨幣繼續(xù)成為頭條新聞，而且通常是出于一些不好的現(xiàn)象。隨著加密貨幣的價值繼續(xù)波動，我們看到大量新的加密惡意軟件持續(xù)出現(xiàn)。這反映了現(xiàn)代惡意軟件的演變，各種變體攻擊全球的計算機系統(tǒng)，劫持它們?nèi)ネ诰蚣用茇泿牛⒗檬芎φ叩馁Y源。加密惡意軟件實際上是在賺錢。

毫無疑問，由于數(shù)字貨幣提供了一定程度的匿名性，而且相當賺錢，加密惡意軟件一直在激增。但這可能只是所有惡意軟件中最糟糕的。在這個加密惡意軟件的新時代，當終端用戶訪問受感染的站點時，他們只需使用終端用戶的設(shè)備來挖掘加密貨幣。

越來越多的網(wǎng)站開始通過訪問者來進行加密貨幣開采，而不是通過廣告為他們的業(yè)務(wù)提供資金。最近，受歡迎的torrent網(wǎng)站“海盜灣”（Pirate Bay）運營著bitcoin-miner，作為廣告的替代品，為該公司提供資金。這種新的創(chuàng)收方案導(dǎo)致用戶的中央處理器（cpu）和電力使用急劇增加，同時降低了設(shè)備的性能。巧的是，廣告收入正在顯著下降。

如果你沒有聽說過比特幣，那你一定是與世隔絕了。它無疑是最著名的加密貨幣，它是由“挖掘”產(chǎn)生的?！拔宜f的挖掘，是指利用大量能量和處理能力來驗證事務(wù)的計算密集型任務(wù)?！背晒Φ牡V工會得到一枚“硬幣”作為獎勵，這枚硬幣會被添加到數(shù)字錢包中——或者，在加密的情況下，被劫持到黑客的數(shù)字錢包中。這是首次，惡意軟件可以直接為罪犯“印錢票”。

就其本身而言，個人電腦的功能還不足以通過開采加密貨幣來賺錢——關(guān)鍵字是“賺錢”?！罢_地開采需要專業(yè)的設(shè)備，包括專業(yè)的硬件和大量的電力。請注意，現(xiàn)在有不同的加密貨幣算法，其中一些算法比其他算法更密集，需要更多的計算能力。

這些是如何發(fā)生的？

一般來說，惡意軟件是通過某些事件訪問計算機。一種招募方式是通過第三方應(yīng)用程序和插件。例如，超過5000個澳大利亞和全球政府網(wǎng)站被植入Coinhive加密貨幣開采軟件，就是通過browseloud的插件。

這是一個很大的轉(zhuǎn)折，壞人不再需要按照以前的做法。而是，通過使用瀏覽器來植入挖掘代碼即可，用戶在加載受感染的頁面時就會被迫挾持。代碼在后臺運行，這使得檢測非常困難。軟件現(xiàn)在是一把雙刃劍。只要用戶在網(wǎng)站上，惡意軟件就會運行，而用戶也不知道軟件是什么時候運行的。

然而，Malwarebytes研究人員Jerome Segura最近發(fā)現(xiàn)了一種簡單的技術(shù)，這種技術(shù)允許即使在窗口關(guān)閉后仍然繼續(xù)挖掘。訣竅在于創(chuàng)建一個彈出式隱藏窗口，該窗口的大小正好適合任務(wù)欄，并將其隱藏到用戶的視圖中。

這些加密貨幣的礦工們利用計算機的資源，使他們能夠工作，挖掘貨幣。不幸的是，當用戶的硬件和電力被用來為挖礦賺錢時，用戶卻得不到任何好處。相反，它們使計算機性能和組件方面降低了。

這是對所謂的第三方軟件的長期關(guān)注。許多組織允許應(yīng)用程序編程接口（api）和其他插件進入它們的系統(tǒng)和/或環(huán)境。再加上通過庫交付此類軟件，這意味著插件可以被篡改或被受感染的軟件取代。任何組織都應(yīng)該專注于檢查和驗證插件和第三方軟件的使用，這是管控數(shù)字風險的一種謹慎的方法。

現(xiàn)在可以部署許多保護機制來防止加密貨幣采礦軟件的惡意傳播，但目前最好的選擇是阻止已知的挖掘領(lǐng)域。需要付出一些努力的做法，一個更好的選擇就是將這些站點添加到操作系統(tǒng)的主機文件中，以便這些域重定向到本地主機，從而有效地使代碼加入到黑名單中。

企業(yè)也可以禁用JavaScript。但是，許多網(wǎng)站需要JavaScript來實現(xiàn)部分或全部功能。不過，如果禁用了JavaScript，任何基于JavaScript的加密貨幣挖掘程序都不能運行。

盡管網(wǎng)頁瀏覽器集成了反加密惡意軟件的功能，但大多數(shù)常見的瀏覽器都不會檢測或阻止加密挖礦程序。然而，當用戶訪問網(wǎng)頁時，一些反惡意軟件和反病毒程序可以檢測和屏蔽密碼劫持代碼。

在網(wǎng)頁瀏覽器上安裝廣告攔截、反加密挖掘擴展可以有效地阻止此類腳本的運行。這里的關(guān)鍵是采用高度重視和維護的供應(yīng)商，以確保它會定期更新，不會演變成廣告軟件噩夢。Firefox、Chrome和Opera都有“No Coin”的擴展功能，但遺憾的是微軟和蘋果都沒有。Ad-blocking擴展和Adblock Plus還可以檢測加密挖掘的腳本。

變化著的環(huán)境

需要注意的是，加密挖掘惡意軟件采用了與其他許多網(wǎng)絡(luò)威脅相同的操作方式：它們都利用了漏洞，包括從惡意垃圾郵件到第三方垃圾軟件或篡改插件的所有漏洞。例如，Adylkuzz利用了EternalBlue漏洞和DoublePulsar的后門——這個安全漏洞與ransomware以前使用過的一樣。與此同時，CPUMiner使用了SambaCry， WannaCry的Linux續(xù)集，利用了一個開源網(wǎng)絡(luò)應(yīng)用Samba中的漏洞。

早些時候，我提到了一個合理的解釋，為什么有些網(wǎng)站可能使用加密貨幣的挖掘程序來賺錢。這當然是一個有趣的交換，一些網(wǎng)站用很多廣告來轟炸訪問者。理想的情況是，網(wǎng)站會通知訪問者，一個礦機正在運行，使用戶在知情的情況下做出決定。畢竟，沒有人喜歡被人利用。

這些挖礦程序被武器化，并被用于除了創(chuàng)造收入之外的更邪惡的目的，這個只是時間問題。與早期的垃圾郵件類似，隨著惡意附件的增加，垃圾郵件數(shù)量也穩(wěn)步增長。