浏览器密币劫持越来越难以检测
翻译:360代码卫士团队
网络犯罪分子并不愚蠢。上有政策下有对策。网络犯罪分子也是如此。他们总是能找到绕过代码遭拦截的方法。
这种情况也同样适用于反病毒圈子,而且它正是浏览器密币挖掘(密币劫持)场景中出现的情况。
自去年年底密币劫持成为最热的恶意软件趋势后,如今多种解决方案能检测并拦截密币劫持脚本。反病毒软件、广告拦截器和专门的浏览器扩展现在能够阻止浏览器从和加密劫持服务存在关联的域名中加载 JavaScript 代码。
这导致部署这些脚本的人们收益大减,多数脚本被非法添加到被黑网站中。
去年11月出现的首个躲避技术如今已经在密币劫持组织中变得越来越流行。
最流行且传播范围最广的技术是部署“密币劫持代理服务器”如可从 GitHub上找到的 CoinHive Stratum 挖掘代理。
这些代理服务器具有两种优势。一是能让犯罪分子将密币劫持脚本托管在他们自己的域名中并避免从密币劫持服务(如 Coinhive、CryptoLoot、DeepMiner 等)的域名加载它,这些都可由安全解决方案检测到。
第二个优势是,代理能让犯罪分子使用自定义挖矿池,从而能让他们将挖矿进程从密币劫持服务本身脱离出来,并且在不必向 Coinhive 或其它服务支付任何费用的前提下保留所有挖掘出的门罗币。
这类代理目前变得很普通,Sucuri 公司和 Malwarebytes 公司在近几个月发现的情况也是如此。
长期来看,随着这些代理系统变得越来越流行,这意味着很多解决方案如广告拦截器和专门的浏览器扩展(依靠域名黑名单)将会在拦截浏览器挖掘方面变得过时且无效。届时,用户只能通过 CPU 的高消耗信息来判断浏览器中是否存在密币劫持脚本。
关联阅读
原文链接
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。