黑客一直在窃取国际许愿基金会网站访问者的CPU周期。Trustwave研究人员发现,CoinIMP挖掘脚本被嵌入到这个非盈利网站中,该脚本还利用了Drupalgeddon 2漏洞。
研究人员在许愿基金会的网站上发现了一个自5月以来一直活跃的密码系统。这个网站属于基金会的美国分部。
“不法分子嵌入脚本,试图利用网站强大的计算能力挖掘加密货币,让自己拥有“真正的财富”。然而,在节日来临之前,他们不是针对任何人,而是针对慈善网站。这真的很丢人,也显得太低级了。”rustwave的安全研究员西蒙凯宁(Simon Kenin)说。
CoinIMP矿工是基于JavaScript工作的,经常被别有用心的人使用。这些人经常在网站中秘密嵌入代码,并利用它在网站访问者的手机、平板电脑或电脑中挖掘门罗币。
据凯宁称,此次攻击利用了Drupal在线发布平台未打补丁的漏洞和3月份修复的Drupalgeddon 2漏洞。根据一项调查,用于托管采矿脚本的域名‘Drupal updates . tk’是自2018年5月以来在野外开发Drupalgeddon 2的活动的一部分。尽管关键的远程代码执行漏洞(CVE-2018-7600)的补丁已经存在了几个月,但许多网站尚未更新,仍然容易受到攻击。事实上,截至6月,仍有超过115,000个网站存在漏洞。
这种秘密采矿活动极难被发现,因为它使用不同的技术来避免静态检测。例如,它首先更改托管JavaScript miner的域名(这本身就令人困惑)。然后,根据Trustwave的说法,WebSocket代理也使用不同的域和IP来避免黑名单解决方案。
凯宁说,他联系了基金会官方,但一直没有得到回应,但注入的剧本已经从网站上删除了。同时,凯宁警告称,基于drupal的网站需要更新,否则将面临受到同行攻击威胁的风险。
Drupalgeddon 2并不是网络犯罪分子用来感染恶意劫持恶意软件的唯一攻击媒介。密码劫持如此普遍,以至于有时很难判断一个网站是否感染了恶意软件,或者网站所有者是否真的添加了挖矿代码。特别是对于小型网站,他们可能会使用加密技术来获取合法的收入来源,但他们保护网站的能力也可能是有限的,这可能会使他们面临密码被破解的风险。
本文由黑客视界综合网整理,图片均来自网络;请注明“转自黑客视界”,并附上链接。