前一段时间有关利用网页JS挖矿的新闻屡见不鲜,其手段为黑客入侵网站后将正常网站页面嵌入恶意挖矿脚本,用户通过浏览器访问这些站点时这些脚本会在后台执行并大量占用资源,电脑会变慢、卡顿,CPU 利用率甚至飙升至100%。最近上网浏览网页的时候发现电脑CPU有升高,但是也在 70%以下,以为是后台运行一些更新程序什么的,结果没想到抓包一看是挖矿脚本!
数据包如下:
“newscdn.ysw365.com/static/v5/js/CSSloader.js?v=1” 这个 JS 文件其实是一个挖矿脚本,来源于一个在线挖矿网站 ppoi.org ,类似于著名的 coinhive ,与之前暴力简单的嵌在正常网页中的挖矿 JS 相比,作者设置了 setThrottle ,线程应保持空闲的时间百分比,用来控制 CPU 资源占用率,使得用户不会轻易发现自己被人利用挖矿。可见作者不想像之前黑产那样不计后果暴力的去进行挖矿,而是想“细水长流”。
JS 脚本中的自定义信息,包含 Sitekey 和 Throttle 值:
此时我机子的 CPU 利用率为 66% ,与之前的接近于 100% 的利用率,更不容易被发现。
由 referer 头可以看出是由 99e3.com 这个域名跳转来的,目前推测有两种情况:该域名被黑,被嵌入跳转的 JS 脚本;或者该域名和上面跳转的域名 newscdn.ysw365.com 为同一个作者,其作用仅仅是用作执行挖矿脚本的诱饵。
访问该网站,乍看起来像正常的资讯网站:
随意点开一条新闻,发现立即跳转到 sohu 新闻的页面,而点击箭头指向内容,则会打开本站网页,网页源码中同样嵌入了 Script 标签来调用 newscdn.ysw365.com/static/v5/js/cssloader.js?v=1 这个挖矿脚本。
第一反应先扫下这个网站,目录如下:
看到网站结构便一目了然,可调用挖矿脚本的网页内容放在 a 、 V2 、 V5 目录下,正常网页根据不同的类型重定向到 sohu 的指定页面。这样白加黑的手法更加使用户不易察觉,实际访问过程中,明显感觉到可调用挖矿脚本的网页内容更加比正常网页具有诱惑性,成功诱使用户点击的概率更高。
来源: http://www.tuicool.com/articles/AzE32eV