挖矿机这个名字相信大家已经越来越熟悉,但网页版的挖矿机大家有没有见过呢?近日360互联网安全中心就发现了这样一款以JavaScript脚本形式存在于网页中的挖矿机。
该脚本代码被嵌入了一个叫做“万方科技学院内网代理系统”的网站中,一旦用户打开该网站,浏览器便会按照脚本的指令变成一个门罗币挖矿机。这一行为,完全没有告知用户,更没有经过用户的同意,而这一段附加的挖矿代码通常因为大量占用CPU,使用户的计算机变得异常卡顿甚至无法正常使用。
通过查看该网站的源码,我们很容易地发现网页被嵌入了Coinhive JavaScript Miner代码。该代码是基于CryptoNight挖矿算法编写,该算法可以产出CryptoNote类网络货币,如Monero(门罗币)、Dashcoin(达世币),DarkNetCoin(暗网币)等。而当前嵌入的这个Coinhive JavaScript Miner则仅支持门罗币的挖矿。
<img alt="1.png" src="http://image.3001.net/images/20170926/15064086514268.png!small" width="595" height="397"></p>
<img alt="2.png" src="http://image.3001.net/images/20170926/15064086739378.png!small" width="690" height="340"></p>
其挖矿操作所占用的系统资源是显而易见的。打开Windows自带的任务管理器及资源监视器,可以发现在打开该网站后CPU资源迅速被占用超过95%。
<img alt="3.png" src="http://image.3001.net/images/20170926/15064087093410.png!small" width="690" height="285"></p>
Chrome的内置任务管理器也可以看到CPU使用率的峰值,显示“标签页:万方科技学院内网代理系统”的进程占用了95.1%的CPU资源。
<img alt="4.png" src="http://image.3001.net/images/20170926/15064087369418.png!small" width="690" height="306"></p>
另外,我们还监测到国外的两个网站也包含有类似的挖矿代码:
hxxp://sidrasa.mex.tl
<img alt="5.jpg" src="http://image.3001.net/images/20170926/15064087605923.jpg!small" width="690" height="159"></p>
hxxp://www.d3scene.com/
<img alt="6.png" src="http://image.3001.net/images/20170926/15064087908412.png!small" width="690" height="137"></p>
<img alt="7.png" src="http://image.3001.net/images/20170926/15064088008587.png!small" width="690" height="183"></p>
根据我们的数据,该挖矿代码是9月15日才刚刚出现的,但短短不到一周的时间,访问量就已经达到十万级且还在上涨:
<img alt="8.jpg" src="http://image.3001.net/images/20170926/15064088494364.jpg!small" width="690" height="424"></p>
再看看门罗币的市值,可以想见这一周的时间这几行代码赚取了多高的利润了:
<img alt="9.png" src="http://image.3001.net/images/20170926/1506408878305.png!small" width="604" height="209"></p>
利用在网站中插入挖矿脚本来实现流量变现正在成为一股不可阻挡的势力,因为这显然比网站的展示广告有着更加直接可观的收益。挖矿的巨大利润势必会让许多站长效仿以及黑客们趋之若鹜,而打开带挖矿代码的网站对我们的计算机的影响是显而易见能且直观感受到的;我们将持续保持对这一类挖矿网站的监控。
对此,360已对此类网站进行拦截,防止该恶意代码进一步的扩散,影响用户机器。
*本文作者:360安全卫士(企业帐号),转载请注明来自FreeBuf.COM
