黑客感染了超过3500个网站，植入了隐蔽的Monero挖矿程序

恶意攻击者感染了超过3500个网站，使用加密货币隐秘挖矿脚本。网络安全公司c/side对此进行了报道。

恶意软件不会窃取密码，也不会锁定文件。相反，它在用户不知情的情况下使用少量计算能力来挖掘Monero。挖矿程序避免引起CPU的可疑负载，因此很难被发现。

"由于限制CPU使用率和通过WebSocket连接进行流量掩盖，这个脚本避免了传统加密挖矿的典型特征，" 分析师指出。

加密劫持是未经授权使用他人设备进行数字资产挖矿的行为，通常是在不知情的情况下进行的。这种策略于2017年随着Coinhive服务的推出而出现。2019年，该服务关闭。当时关于此类恶意软件的传播程度的数据存在争议：一些来源报告说活动减少，但其他实验室则记录到其增长了29%。

「攻击变得更复杂，攻击变得更加深思熟虑」

经过五年的时间，加密劫持以更隐蔽的形式卷土重来。以前，脚本会导致处理器过载并减慢设备的运行速度。现在，恶意软件的主要策略是保持隐蔽，缓慢挖矿，不引起怀疑，一位匿名的网络安全专家在对Decrypt的评论中指出。

分析师c/side描述了攻击的主要阶段：

• 恶意脚本的植入 — 在网站代码中添加 JavaScript 文件 (，例如，karma[.]js)，启动挖矿；
• 检查 WebAssembly 支持、设备类型和浏览器功能以优化负载；
• 创建后台进程；
• 与管理服务器的连接 - 通过 WebSockets 或 HTTPS 脚本接收挖矿任务并将结果发送到 C2 服务器 - 黑客的指挥中心。

恶意软件并非针对窃取加密钱包。然而，从技术上讲，黑客可以利用这样的功能。处于风险之中的是服务器和网络应用程序的所有者，他们的网站成为了挖矿的平台。

提醒一下，6月12日，卡巴斯基实验室的专家们报告了俄罗斯新一轮隐秘挖矿活动。黑客组织Librarian Ghouls，也被称为Rare Werewolf，入侵了数百台俄罗斯设备。