导语: 加密货币挖矿活动获利巨大, 越来越多的黑客和犯罪分子转向加密货币挖矿行动通过重定向让安卓设备进行挖矿活动, 是一种新的威胁, 影响数百万安卓设备
简介
通过重定向和木马应用传播恶意广告和在线诈骗活动越来越困扰安卓用户因为很多用户没有使用 web 过滤和安全应用服务, 所以这让情况变得更糟
一个攻击组织就抓住了这个机会来传播高获利的 payload:XMR 门罗币挖矿机今年 1 月, 研究人员发现一起 2017 年 11 月就已开始的攻击活动, 上百万的手机用户 (安卓设备) 被重定向到用来进行浏览器内挖矿的页面
在之前的研究中, 研究人员将这种技术定义为自动地不经过用户同意的而且大多是静默的这里, 需要用户输入验证码来证明是真人而不是僵尸机器, 如图:
当用户输入验证码(w3FaSO5R), 点击 continue, 手机或平板电脑就会根据设备的处理器全速挖矿
重定向机制
研究人员在调查 1 月底的一起恶意软件活动 EITest 时, 发现许多不同的恶意广告链都会指向 Windows 设备上的 IE 或 Chrome 用户代理的技术支持骗局在安卓设备上, 就会被重定向到挖矿页
有一点很奇怪的是 (硬编码的) 静态代码能够通过 continue 按钮有效地验证人和机器的流量同样地, 当点击 continue 时, 用户会被重定向到 Google 主页, 这也是为了证明用户的真实性
安卓用户也可能会从正常的浏览中被重定向, 研究人员相信被感染的应用含有能够加载指向加密货币挖矿页面的广告模块这在安卓生态中是非常常见的, 也就是所谓的免费应用(免费应用中常常附带广告服务)
研究人员找到了很多使用相同验证码的域名, 这些域名使用不同的 Coinhive site keys 这额域名都是在不同时间注册的, 最早的是 recycloped[.]com2017 年 11 月, 这些站点使用的模版也都是相同的
域名和注册日期
- . recycloped[.]com 2017-11-22
- . rcyclmnr[].com 2017-12-01
- . rcylpd[.]com 2018-01-03
- . rcyclmnrepv[.]com 2018-01-17
- . rcyclmnrhgntry[.]com 2018-01-22
流量统计
研究人员相信还有未被发现的域名, 但是这些发现的域名也足够说明该活动的范围了研究人员将两个最活跃的站点共享给了进行 web 分析服务统计的广告欺诈研究员 Dr. Augustine Fou,Dr. Augustine Fou 证实了研究人员的怀疑, 流量主要来源于手机端并且在 1 月达到峰值
研究人员估计发现的这 5 个域名每天的流量大约为 80 万, 每个用户的访问 (停留) 时间平均为 4 分钟以 ARM 处理的为标准, 研究人员发现哈希的数量为 10h/s
目前还不清楚一共有多少个域名存在, 因此也不能推算出一共挖到了多少门罗币因为哈希速率低挖矿时间又有限, 研究人员估算每个月利润只有几千美元但是一旦加密货币增值, 利润可以迅速翻倍
结论
在过去的几个月里, 威胁环境是动态变化的, 许多威胁单元都加入到加密货币挖矿中来基于恶意软件的挖矿机和基于 web 的挖矿机激增, 并提供给黑客和犯罪分子新的收入来源
这种被动式的挖矿现在已经开始影响手机和平板电脑了, 影响的方式也不知木马应用, 还通过重定向和弹窗广告等虽然移动平台的计算能力不如桌面平台, 但是移动平台的数量比较多与 IoT 设备相同, 许多设备的计算能力聚合在一起就非常庞大了
研究人员建议在手机和电脑上安装杀毒软件等, 因为恶意软件可能会对设备造成永久性的伤害或破坏
IoC
域名:
- rcyclmnr[].com
- rcylpd[.]com
- recycloped[.]com
- rcyclmnrhgntry[.]com
- rcyclmnrepv[.]com
进站前链结站点:
- panelsave[.]com
- offerreality[.]com
- thewise[.]com
- go.bestmobiworld[.]com
- questionfly[.]com
- goldoffer[.]online
- exdynsrv[.]com
- thewhizmarketing[.]com
- laserveradedomaina[.]com
- thewhizproducts[.]com
- smartoffer[.]site
- formulawire[.]com
- machieved[.]com
- wtm.monitoringservice[.]co
- traffic.tc-clicks[.]com
- stonecalcom[.]com
- nametraff[.]com
- becanium[.]com
- afflow.18-plus[.]net
- serie-vostfr[.]com
- pertholin[.]com
- yrdrtzmsmt[.]com
- yrdrtzmsmt.com
- traffic.tc-clicks[.]com
- Conhive site keys:
- gufKH0i0u47VVmUMCga8oNnjRKi1EbxL
- P3IN11cxuF4kf2kviM1a7MntCPu00WTG
- zEqkQef50Irljpr1X3BqbHdGjMWnNyCd
- rNYyUQUC5iQLdKafFS9Gi2jTVZKX8Vlq
来源: http://jaq.alibaba.com/community/art/show?articleid=1526