2017年用於挖取門羅幣的挖礦程式Coinhive堀起,許多網站被植入這種程式,使得用戶瀏覽網站的過程裡,瀏覽器會暗中替他人挖掘加密貨幣,但在2019年兩大瀏覽器陣營Chrome、Firefox出手,阻斷相關挖礦程式,Coinhive也宣布停止服務。但類似的攻擊手法,並未就此消失,而是改以更為隱密的方式進行。
長年追蹤加密貨幣挾持攻擊的資安業者Client-side Development(C/side)發現一起不尋常的攻擊行動,他們在2024年下旬,察覺相關活動急劇下降,當時他們判定這樣的情況之所以出現,可能是因為資安系統封鎖挖礦軟體的有效酬載的能力變好,迫使駭客改以其他手法繼續牟生。
但後來發生的現象推翻了上述假設,C/side的爬蟲程式標記怪異的事件,一個第三方的JavaScript檔案從https://www.yobox[.]store/karma/karma.js?karma=bs?nosaj=faster.mo.載入,乍看之下,似乎沒有發出網路請求、沒有處理器大量占用的跡象,但該公司的AI機器人卻視為有害。經過調查,這是一起靜悄悄的挖礦活動,駭客在超過3,500個網站埋入惡意的karma[.]js,重覆使用信用卡側錄攻擊Magecart的基礎設施,以低調、持久、區分多個階段的策略來進行。
值得一提的是,駭客的指令碼並非直接於受害電腦挖掘加密貨幣,而是在成功部署惡意的JS檔案後,先透過間接手法掌握受害裝置的運算能力,並以背景執行、透過C2精準控制挖礦的強度,在用戶幾乎無法察覺的情況下進行挖礦。
究竟駭客如何得知受害電腦的運算能力,C/side透露,是根據是否支援WebAssembly執行、裝置類型,以及瀏覽器的功能等條件,檢查系統環境,挖礦程式可藉由這些資訊進行最佳化處理,來決定挖礦的最佳策略。接著,駭客產生Web Worker,並於背景執行挖礦工作。而對於挖礦的狀態,他們藉由WebSocket或是HTTPS請求,將成果回傳C2伺服器。
有別於過往的挖礦攻擊是一口氣榨乾受害電腦的運算資源,這種手法是隨著時間的經過,持續、長期吸收資源,特別的是,C/side提及這些駭客的座右銘是「Stay low, mine slow」,藉由限制處理器的使用率、利用WebSocket隱藏流量,避免過往挖礦活動過於明顯的異常現象,而遭到防守方中斷。
熱門新聞
2025-12-02
2025-12-01
2025-12-01
2025-12-01
2025-11-30
2025-12-04