目前安全研究人員發(fā)現(xiàn)一種隱藏在網(wǎng)站中的新型挖礦腳本。這個(gè)腳本使用一個(gè)微小窗口隱藏在用戶電腦系統(tǒng)任務(wù)欄下方，訪問電腦硬件來(lái)進(jìn)行挖掘。更為恐怖的是即使瀏覽器被關(guān)閉后這個(gè)挖礦腳本仍然運(yùn)行。主要研究Malwarebytes的Jerome Segura發(fā)現(xiàn)，這種隱藏式操作的幕后黑手利用了一種被稱為“pop-under”的策略，這一技巧可以讓其產(chǎn)生一個(gè)與主瀏覽器分離的新窗口。

[[212411]]

網(wǎng)站運(yùn)營(yíng)商將彈出窗口隱藏在Windows任務(wù)欄下

使用JavaScript代 碼，還可以讓網(wǎng)站所有者在用戶的屏幕上設(shè)置這個(gè)窗口的大小和坐標(biāo)(位置)。據(jù)Segura所說，一個(gè)成人門戶網(wǎng)站使用了下面的公式來(lái)動(dòng)態(tài)計(jì)算這個(gè)新窗口的位置。

對(duì)于大多數(shù)用戶來(lái)說，這一操作會(huì)顯示一個(gè)小窗口，隱藏在Windows任務(wù)欄下。然后，網(wǎng)絡(luò)犯罪者會(huì)在這個(gè)隱藏的窗口中加載一個(gè)JavaScript文件。這個(gè)文件是Coinhive隱身瀏覽器挖礦的一個(gè)定制版本，這個(gè)腳本可以利用用戶的CPU資源來(lái)為網(wǎng)絡(luò)犯罪者挖掘Monero加密貨幣。

挖礦窗口很難被識(shí)別，但很容易清除掉

除非用戶將啟用了透明操作系統(tǒng)界面，或者自己主動(dòng)在任務(wù)管理器中查找流氓進(jìn)程，否則他們將沒有機(jī)會(huì)發(fā)現(xiàn)這個(gè)隱藏的窗口。此外，與大多數(shù)其他隱藏性的惡意代碼不同的是，該腳本并沒有利用用戶的全部CPU資源，而是將其活動(dòng)限制在更低的值上，以期不會(huì)導(dǎo)致用戶計(jì)算機(jī)運(yùn)行速度的減慢。根據(jù)Segura的說法，如果用戶發(fā)現(xiàn)計(jì)算機(jī)存在異常，他們可以使用Windows任務(wù)管理器來(lái)關(guān)掉與此窗口相關(guān)的流氓瀏覽器進(jìn)程，或者調(diào)整Windows任務(wù)欄的大小，并迫使隱藏的窗口變得可見。

目前為止，僅在一個(gè)網(wǎng)站上發(fā)現(xiàn)這種挖礦腳本

在撰寫本文時(shí)，該腳本似乎只適用于Chrome瀏覽器，并且只在一個(gè)yourporn[.]sexy色情網(wǎng)站上被發(fā)現(xiàn)。Malwarebytes在本月早些時(shí)候發(fā)布的一份報(bào)告中提到，它的安全產(chǎn)品每天都要阻止800萬(wàn)次的加密劫持服務(wù)。大多數(shù)安全產(chǎn)品和廣告攔截瀏覽器插件都支持阻止隱身瀏覽器的挖礦操作。自9月中旬以來(lái)，我們已經(jīng)跟蹤了大多數(shù)主要的加密劫持事件，在推出Coinhive服務(wù)之后，這種類型的攻擊變得再次流行起來(lái)。在2010年初，當(dāng)挖掘Bitcoin仍然有利可圖時(shí)，美國(guó)當(dāng)局介入，并關(guān)閉了一項(xiàng)與此類似叫做Tidbit的服務(wù)。