小心这个插件 会让你的电脑瞬间变成一台矿机

你只知道比特币会被盗? 小心你的电脑也成了别人的挖矿工具

• 作者 黄志平 •
2018年01月30日17:49 • 速途网

  有关区块链和数字货币的安全问题最近也越来越受关注,而日本最近也曝出了近期该国内最大的一笔虚拟币被盗案。

  据悉,日本最大比特币交易所之一Coincheck发布声明,称交易所的“新经币”(NEM)被非法转移至其他交易所。Coincheck表示,没有发现其他虚拟货币存在相似问题,但也不知晓新经币是如何丢失的。当天,Coincheck宣布暂停所有虚拟货币提现,同时暂停除了比特币之外所有的代币交易。

  该事件发生之后,日本金融厅(FSA)向日本全国约30家经营虚拟货币交易所的公司发出通知,警告可能还会发生更多的类似事件,提醒交易所做好安全措施。而Coincheck宣布将使用日元对用户进行赔偿,补偿价格为88.549日元乘以拥有的数量,补偿金额总计达463亿日元,约合4.26亿美元。

  自区块链受业内追捧以来,其中心化、共识机制等等特性时常被支持者挂在嘴边,但鲜有人对其安全提及一二。

  从目前各类比特币被盗案来看,显然其安全是很值得重视的,不过,不要以为安全只局限在虚拟币防盗方面,作为生产虚拟币的源头,挖矿同样存在着安全漏洞。

  不知道各位是否还记得,去年九月,盗版下载种子站“海盗湾”(The Pirate
Bay)
的网页被发现内置了虚拟币的挖矿程序,用户打开网站时其登陆设备即成为网站的挖矿设备,用比较洋气的说法就是“众包挖矿”。

  此事被曝光之后,在巨大的舆论压力面前,海盗湾管理员出面认错,称网站需要生存,他们在“测试”这种新的收入方式,因为网站上堆积如山的广告已经备受诟病。

  遗憾的是,这种事在去年发生了多次。

  本周,YouTube的网页居然也被发现存在内置挖矿代码的现象,据悉,在
YouTube
网页的右上角位置,视频播放控件的右侧、推荐视频的上方,展示的是来自于
Google DoubleClick
广告平台的广告。涉事的广告上没有内容,一片空白,显得十分蹊跷。

  调查后研究人员发现,这个广告里的 JavaScript
代码里,包含了一段挖矿脚本,而这一脚本挖的虚拟币名为Monero。

  图片 1

  像上面这些,统称为挖矿劫持,也就是通过内置脚本让使用者的设备成为对方的挖矿工具,从而实现“云挖矿”。由于网页使用的是
JavaScript
,这种程序语言可以实现静默运行,没有提示,不需要安装,更不需要你的同意,因此,做起坏事来跟隐蔽,这种方式也是目前最为流行的挖矿劫持方式。

  唯一能被用户感知的,可能就是突然增加的CPU、GPU占用率。

  如果想预防,小白用户也只能通过这一现象来判断。比如风扇狂转,这是CPU
利用率提高的一个表象,然后通过任务管理器(Mac可使用自带的活动监视器
)观察CPU的使用率。

  此外,如果你能在网页代码中找到Coinhive 的字样也要小心,因为
Coinhive自称是一个分布式挖矿服务的供应商,但安全人士将其定性为恶意软件。

  一旦网页中植入Coinhive 代码,访客打开网页后,每秒可以进行 20
或更多次哈希计算(挖矿程序)。打开网页的人越多,挖到的Monero越多。说起Coinhive,海盗湾事件爆发时正式前者发布第一代分布式数字货币挖掘服务的时候,该事件也成了它的成名作。

图片 2

  对于挖矿劫持所得收益来说,Coinhive和网站三七开。但独立开发者 Maxence
Cornet 曾经做过一个测试,一个日均 1000
独立访客,每人每 session 50 秒左右的网站,在 60 个小时内产生了 0.00947
个Monero,折合每天 36
美分,连一个汉堡都买不了。

  如此低收益高风险的事情,想必大多数黑客也是抱着玩票的心态尝试一下,但是,小网站收益不尽人意,但像YouTube这种夹杂大量视频内容的巨型网站,流量客观,挖矿劫持所得收益可能要用另一种眼光来看待。

  既然程序运行如此隐蔽,单靠风扇和CPU占用率等判断有些后知后觉,普通用户也可以选择一些自带隔离器的浏览器,将恶意程序堵在门外。

9 月中旬,海盗湾被曝在网站添加了一个由 Coinhive 网站提供的 Javascript
比特币挖掘脚本,即采用加密方式注入用户电脑挖掘比特币后增加 CPU
使用率。据悉,由于该攻击手段导致流量运行迅速,因此海盗湾每月可能获益
12000 美元。不过,部分用户在发现后立即开始禁用 Javascript
程序,以防网络犯罪分子再次侵害。

图片 3

网络安全公司Adguard于近期发表一份研究报告,指出逾
220 家热门网站运营者早期就已经从 CoelHive 寻找到加密货币 Monero
的采矿脚本,并通过用户电脑进行试验挖掘加密货币,从而获取巨额收益。据悉,目前共有
5 亿用户在不知情下运行 JS 脚本、挖掘加密货币。

最近专家发现有一款叫做SafeBrowse的Chrome浏览器插件会大量占用系统资源,实际上是劫持了用户的电脑来挖矿。

**著名 BT
盗版网站海盗湾是电影制片人、音乐制作人和软件创作者的噩梦,但现在海盗湾发生了有趣的变化,让喜欢下载盗版的用户感到非常失望。因为海盗湾在其网站上添加了一个由
Coinhive 提供的 Javascript
比特币挖掘脚本,即采用加密方式注入到访问海盗湾的用户电脑当中进行挖掘比特币计算,部分用户已注意到他们电脑上的资源使用增加。

**

前几天,全球最大的 BT 下载网站「海盗湾」被曝网页内嵌 Javascript
程序,「借用」浏览者的电脑挖掘虚拟货币「门罗币」。「海盗湾」官方承认,他们有意借此来增加部分营收。

图片 4

不过,想要借用用户浏览器来「挖矿」的可不止「海盗湾」。

CoinHive 是目前最受欢迎的 JS
挖矿引擎。安全专家表示,上述攻击手段主要是网站运营商在其网页内嵌入一段
JS
代码,只要用户访问,挖矿程序就会在网民的电脑中运行,从而占据大量系统资源,导致
CPU 利用率突然提升。

昨天,国内某安全实验室监测发现了一款名为「SafeBrowse」的 Chrome
恶意插件。表面上,SafeBrowse 是一款支持 Chrome
浏览器的网页广告拦截插件,但其实它被内置了挖矿病毒,主要目的是尽可能多地控制被感染电脑,消耗用户电脑资源「挖矿」牟利。

目前,Adguard
安全专家估计,这些网站几乎不需要花费太多资金就能够完成此类攻击。其中,Torrent
搜索网站、托管盗版内容的网域与色情网站最有可能使用矿工挖掘加密货币。因为这些网站一般很难通过广告获益,所以他们更愿意采取其他创新方式赚钱资金。

从监测结果看,SafeBrowse 能占用 60% 左右的 CPU
资源,让用户的上网体验明显变差。安全实验室在这一插件的安装位置发现 JS
脚本文件中内置了挖矿代码,访问一台位于英国的可疑服务器。

图片 5

和「海盗湾」一样,SafeBrowse
挖的也是「门罗币」,一种模仿比特币的虚拟币。目前每枚门罗币的价格在人民币
500 元左右。

CoinHive
网站最近引起广大媒体关注后发表声明:“公司并不知道我们的客户没有经过用户的同意擅自运行加密脚本,我们感到非常难过。不过,我们相信我们一定能在尊重用户的情况下解决此类事件。目前,希望用户能够警惕网站加密货币的采矿脚本。”

安全专家介绍,SafeBrowse 不能在 Chrome
官方应用商店下载,而是通过第三方下载站进行传播,所以目前「中招」的用户应该不多。另外,该插件没有被发现用于「挖矿」之外的其他目的。用户可在
Chrome 浏览器地址栏输入:chrome://extensions/,检查自己有没有安装
SafeBrowse 插件。

安全专家表示,加密货币挖掘的潜力如果处理得当,网站访问者没有理由不会同意此类计划,不过如果域名运营商不尊重用户私自进行,那么事情一旦被暴露,他们公司名誉将受到严重打击。目前,在此类问题解决之前,系统拦截器将会阻止
JS
程序运行。此外,网站操作人员与挖矿脚本的开发人员将会共同合作寻求解决方案,从而确保用户
CPU 安全。

不过,即便从 Chrome 官方市场下载插件,也不能保证 100% 安全。9
月初,一款用户数超过 45 万的 Chrome 流行插件被曝实为木马程序。当时在
Chrome 商店搜索 User-Agent Switcher,这款名为「User-Agent Switcher for
Google Chrome」的插件排名第一。它的表面功能是使 Chrome
可以转换为其他浏览器进行访问,如 IE、Safari 甚至 iOS、 Android
等移动浏览器,以方便用户进行测试。实际上,它却内藏恶意代码,能窃取用户隐私信息或向当前页面植入广告。

2015 年,谷歌曾有一项联合研究显示,每天访问谷歌的用户中,5%
的用户在浏览器中至少安装有一个恶意扩展插件,部分人甚至安装了 3 到 4
个。当时的情况引起了谷歌的警惕,Chrome 应用商店里的 200
个恶意插件随后被清除。

目前安全软件对恶意浏览器插件的防御是个空白点,不能很好地监测,也不能帮助用户直接卸载。「对于安全公司来说,这样的对恶意插件的报告还是偶发的,只能发现一个,引导用户卸载一个。」李铁军说。

所以,插件下载最安全的渠道依旧是官方应用商店。下载时,请注意好评率。

网站地图xml地图