近400个政企网站感染Coinhive恶意软件，秘密挖掘加密货币

Posted 2021-04-29 EMLab攻防实验室

Coinhive 恶意软件感染近 400 个网站，其中包括美国政府、联想和洛杉矶分校的网站。

看起来加密货币的流行并没有停止，黑客依然在继续想方设法的窃取用户的计算能力来挖掘加密货币。

来自 Bad Packets Report 的安全研究员 Troy Mursch 发现，使用过时版本的 Drupal 内容管理系统的一些网站正在成为黑客挖掘加密货币的受害者。

这次活动袭击了约 400 个网站，虽然主要目标是美国的政府机构和教育机构，但多家科技公司的网站也感染了该病毒。

Mursch 收集受影响的网站名单中，包括美国国家劳工关系委员会（NLRB）、中国高科技公司的联想、台湾网络硬件制造商 D-Link 以及加州大学洛杉矶分校（UCLA）。

美国、墨西哥、土耳其、秘鲁、南非和意大利的官方网站也受到影响。

Mursch 发现所有受感染的 javascript 代码都指向相同的域名（vuuwd.com）和相同的 Coinhive 密钥，这意味着它是所有这些攻击背后的单个个体或实体。

Mursch 之前的研究发现近 5 万个网站正在进行加密活动，其中许多是不知情的。

关于所有这些攻击的一个有趣事实是，黑客在选择挖掘服务上明显倾向于 Coinhive，它承担了超过 80％的受感染网站。

Coinhive 在推出了一项需要用户同意才能将其计算机用于挖掘的功能后获得了一些合法性。联合国儿童基金会甚至将 Coinhive 服务与此功能结合起来，为孟加拉国的儿童慈善事业提供资金。

然而，研究人员发现，「选择使用」版本通常不会受到网站的欢迎，他们选择将 Coinhive 与他们的网站整合在一起，而不会通知用户。

除非用户注意到设备上的 CPU 使用率过高，并且调查原因，否则用户无法知道他们的计算机是否正在通过 Coinhive 来挖掘加密货币。

*参考来源：thenextweb，由 Andy 编译，转载请注明来自 FreeBuf.COM

---