一連上星巴克的免費WiFi,你的電腦或手機就開始為別人挖礦了

快公司FastCompany 2018-01-13 12:38:35





也許其他論壇一樣,Hack Forums論壇上的黑客會互相交流如何利用加密貨幣賺錢。


但他們不僅僅是低價買入高價賣出,而是想方設法暗中利用他人的手機和電腦挖出數字貨幣。


“任何人只要有幾個被黑的網站控制面板,也許就能在網頁上插入簡單的JavaScript挖掘軟件吧?”某位暱稱Ungifted(無才之人)的用戶問道。他在論壇上詢問如何編寫代碼,在用戶訪問已“埋有”加密貨幣門羅幣的網站時挖礦。


門羅幣是繼比特幣之後最具野心的項目。在2014年4月門羅幣依據CryptoNote被創建, 規避了比特幣的設計缺陷, 使得門羅幣更加隱私,去中心化, 可擴展。門羅幣是目前唯一能隱藏交易發起者,接收者,交易金額,和交易IP的加密貨幣。在國外geek/黑客/暗網中聲譽非常高。


而另一名會員暱稱Broke Musician(破產音樂家),建議把挖礦程序嵌入第三方網站,或者通過社交媒體和垃圾電郵向網站發送含有挖礦代碼的鏈接。



Hack Forums並不是最“頂尖”的網站犯罪分子集結地。大部分會員似乎相對而言欠缺經驗,有些挖礦攻略他們可能根本沒有嘗試過。


但專家稱,近期加密貨幣牛氣沖天,就連見多識廣的挖礦團隊也加入了祕密挖礦的行列,有時是和數據竊取和阻斷服務攻擊等傳統網絡犯罪手法同步運行。最近不少新聞報道也指出,朝鮮政府黑客涉嫌劫持CPU挖掘加密貨幣。


“我們認為,這些傢伙比一般的殭屍牧人(擁有並掌握僵屍網絡的黑客)肯定要精明老練一些。”西雅圖安全公司F5 Networks首席威脅研究員薩拉·博迪說道。



上個月,該公司舉報了一個劫持計算機網絡挖掘加密貨幣的“複雜多層攻擊”案例。攻擊者利用常見服務器軟件的漏洞以及國家安全局洩露的Windows漏洞利用程序,滲透受害者的系統並在其網絡內遷移。


上週,F5舉報了另一款惡意軟件,專門針對Linux系統,通過猜測身份驗證憑據登錄系統,然後運行門羅幣挖礦腳本。


我們很難確切瞭解到,近期這類加密劫持攻擊一共獲益多少,但與這兩個惡意軟件變體相關聯的三個地址似乎已收到價值68,500美元的門羅幣。


這種加密貨幣面世僅三年,已經成為非法挖礦作業的首選工具。它的設計考慮到了隱私性和匿名性,在其公開賬簿中刻意對交易方ID、甚至是交易金額進行模糊處理,因此我們很難在記錄該貨幣交易的賬簿或區塊鏈上追蹤這些不義之財。


上圖顯示了門羅幣的價格上漲趨勢(黃色曲線)和各類(基於文件和瀏覽器的)加密貨幣挖礦惡意軟件的檢測發現趨勢(灰色陰影)。 [賽門鐵克供圖]


同樣重要的是,門羅幣所採用的算法允許普通電腦用戶也能參與一般的挖礦過程,用戶通過將交易記錄到數字賬簿中獲取收益。而包括比特幣在內的其他貨幣則只能使用專門的高端硬件挖掘。


門羅幣目前市場價值達到63億,除了被黑客所用,它其實也存在合法用途。


上月,門羅幣核心開發者“毛茸小馬”裡卡爾多·斯巴尼宣佈,門羅幣可用於購買Weezer樂隊和瑪麗亞·凱莉等知名錄音藝人的音樂和周邊商品。


不少加密貨幣愛好者也看重其強調隱私性和大眾化的挖掘方式。


但在過去這一年,門羅幣挖礦惡意軟件頻繁出沒於各式各樣的網站,當用戶連接被黑客入侵的星巴克無線網絡,在線觀看Showtime電視臺或終極格鬥錦標賽的節目或單純瀏覽網頁時,它們就開始兢兢業業地挖掘礦池。



與朝鮮政府存在關聯的黑客甚至還被指控傳播門羅幣惡意軟件,想必是為了給這個常年捉襟見肘的國家籌集資金。(一次針對某朝鮮服務器的攻擊據傳挖到了大約70個門羅幣,價值27,000美元。)


有些瀏覽器擴展程序被曝在用戶進行其他操作時暗中挖礦,有人還在Facebook Messenger上發送鏈接傳播門羅幣挖礦惡意軟件。


上月,據移動安全公司Wandera稱,從10月到11月,它所發現的連接惡意挖礦網站和應用程序的移動設備數量增加了287%。


嗨!@Starbucks @StarbucksAr,貴品牌的布宜諾斯艾利斯們店wifi供應商會在用戶首次連接wifi時強行延遲10秒,目的是利用顧客的筆記本電腦挖比特幣,你們知道嗎?這不太像知名品牌所為吧?

Noah Dinkin (@imnoah)

 2017年12月2日


“你們還記得之前的物聯網殭屍惡意軟件Mirai吧,我們今年看到了它的一個變體,當時它正在路由器和硬盤錄音機上挖掘門羅幣。”賽門鐵克公司首席威脅研究員坎迪德·伍伊斯特說道。該安全公司上月發佈的一篇關於加密劫持的報告正是由他撰寫的。


與此同時,挖礦惡意軟件也在想方設法潛入許多網站共有的廣告網絡。廣告技術公司Spotad發現了一個JavaScript腳本廣告,專門用來誘騙用戶點擊彈窗,開始挖掘門羅幣。


據Spotad稱,負責該廣告的廣告公司對惡意代碼並不知情。



謀財害“電”


據賽門鐵克報告指出,每名用戶在受感染網頁上每停留一個小時,暗中挖門羅幣的人可能也只掙到幾美分。但只要有足夠流量,小錢也能積累成大財。


對於沒有戒心的計算機用戶而言,電費成本的增加並不明顯:據伍伊斯特估算,一年可能也就多個幾美元。


“普通用戶主要會發現,機子CPU的使用率達到了80%,甚至100%,大大拖慢了整個電腦的運行速度。”他說道。


而在手機端,惡意挖礦也會對CPU造成嚴重負擔,導致電池損耗,設備使用壽命縮短,甚至可能造成物理損害。


據俄羅斯安全公司卡巴斯基實驗室報告,近期他們檢測到挖掘門羅幣的移動惡意軟件利用垃圾廣告轟炸用戶,甚至還能啟動阻斷服務攻擊。


“我們從未見過這種‘萬能型’的惡意軟件。”研究員在一篇博文中寫道。


 [卡巴斯基實驗室供圖]


他們透露,經過兩天的測試,一部受感染的機子出現了物理創傷:電池由於過度使用而鼓包膨脹,撐壞了手機外殼。


安全專家指出,和其他惡意軟件一樣,用戶如果想規避這種寄生挖礦軟件,就必須只安裝來自可信任來源的應用程序,及時安裝系統補丁,並運行反惡意軟件工具,清除系統中的可疑代碼。


至於網頁版的挖礦系統,廣告屏蔽軟件也有助於過濾掉惡意進行加密貨幣數字運算的JavaScript代碼。而硬件或軟件防火牆也能阻斷挖礦工具和命令服務器之間的連接。


賽門鐵克的報告稱,“這連接一斷開,它就無法獲取生成散列所需的數據,也就沒什麼用處了。” 


合法用途


某些門羅幣挖礦軟件開發者認為,瀏覽器挖礦也可以有合法用途,當網站尋求廣告以外的收入來源時,用戶可在知情的前提下選擇以計算機性能換取文章、視頻或高級應用程序功能。


“我不贊成在對方不知情的情況下濫用任何人的電腦。”門羅幣核心開發者斯巴尼說道。“但這項被濫用的技術也開闢了利用互聯網服務賺錢的全新途徑。”他認為,這有可能帶來“免費”版的Netflix,或為新聞業提供新的資金流。


Coinhive是目前最具知名度的網頁挖礦工具之一,其開發者在致《快公司》的郵件中稱,這款軟件最初只是德國論壇Pr0gramm的一個實驗性功能。



該論壇用戶喜歡用挖礦時間換取高級賬號這個主意,於是開發人員把Coinhive設計成可用於其他網站的工具。


“舉個例子,有幾個色情網站使用了Coinhive,用戶可選擇禁用廣告或獲取高級賬號。”他們寫道。“色情廣告一般干擾性很強,也不太賺錢,所以這對於用戶和網站經營者都是頗受歡迎的替代選擇。”


Coinhive甚至還提供了基於挖礦的驗證碼選擇,旨在阻止惡意用戶在網站上執行某種操作。其中一個軟件版本AuthedMine要求用戶在開始挖礦前明確選擇加入。


“我們認為,最好不要在未經用戶同意或未告知對方的情況下運行挖礦工具。” Coinhive開發人員寫道。“再次強調,如果用戶能夠得到回報,他們會很樂意長期運行挖礦軟件。所以,想出幾個公開整合挖掘工具的好法子,對網站經營者而言絕對是有百利而無一害的。”


此舉可能對開發者也是有利的。他們已請求防毒軟件不要屏蔽AuthedMine,因為這款軟件只有在用戶明確允許的情況下才能運行。


相關閱讀: 2018將是重大的區塊鏈之年  



其他挖礦工具的開發者也就用戶許可問題發表了類似聲明,但孰真孰假就無從定奪了。


還有一款名為Monero Silent Miner(沉默的門羅幣挖掘機)的工具,售價14美元,專門在Windows電腦後臺默默挖礦。


其網站稱,它不會彈出用戶可見的窗口,可阻止設備休眠,還能“避開防火牆”。


一個簡單的Windows註冊表設置就能確保電腦一重啟挖掘機就開始幹活,如果設置被刪除了也不怕,它還能自動重新安裝。


但在致《快公司》的郵件中,拒絕提供任何身份信息的開發者表示,它只針對“合法用戶”開發。這就包括擁有多臺電腦並希望利用它們“為電腦終端用戶光明正大”挖掘門羅幣的人。


開發人員稱,該軟件目前已售出700多份。



‐End‐


文 | Steven Melendez

圖片 | fastcompany.cn

編輯 | 黃子君

閱讀原文,購買最新刊雜誌

閱讀原文

TAGS:挖礦加密貨幣惡意軟件挖礦工具