数百家色情网站遭到了不法分子的攻击,不法分子利用恶意广告入侵了访问这些网站的用户的设备。最近几个月已经发生了数次类似的攻击,包括xHamster、RedTube和PornHub在内的很多热门成人网站都遭遇过攻击。

美国安全公司Malwarebytes声称,在日访问量达到百万级人次的很多热门色情网站上发现了恶意广告。这些网站包括DrTuber、Nuvid、Eroprofile、IcePorn和Xbabe等等。

目前安全研究人员发现一种隐藏在网站中的新型挖矿脚本。这个脚本使用一个微小窗口隐藏在用户电脑系统任务栏下方,访问电脑硬件来进行挖掘。更为恐怖的是即使浏览器被关闭后这个挖矿脚本仍然运行。主要研究Malwarebytes的Jerome
Segura发现,这种隐藏式操作的幕后黑手利用了一种被称为“pop-under”的策略,这一技巧可以让其产生一个与主浏览器分离的新窗口。

这些网站上的广告是由成人广告网络AdXpansion发布和提供的,不需要用户点击就能入侵用户设备。

10bet 1

Malwarebytes的分析师克里斯·波伊德(Chris Boyd)在接受英国媒体IBTimes
UK采访时称:“受到攻击的色情图片网站没有成人广告网络那么多,但是受到入侵的PC的后果是一样的,这些网站本身并不能控制用户会看到哪些广告。人人都依靠着一个信任链,但是这个信任链却被想要利用流氓广告污染数据流的无耻之徒轻易打破了。如何找到一些有效的方法来减轻最容易受到恶意广告入侵的用户所面临的威胁,这是一个难题。”

网站运营商将弹出窗口隐藏在Windows任务栏下

Malwarebytes已经联系了AdXpansion广告网络,向他们通报了此次大规模恶意广告攻击事件,但尚未得到后者的回应。

使用JavaScript代
码,还可以让网站所有者在用户的屏幕上设置这个窗口的大小和坐标(位置)。据Segura所说,一个成人门户网站使用了下面的公式来动态计算这个新窗口的位置。

10bet 2

对于大多数用户来说,这一操作会显示一个小窗口,隐藏在Windows任务栏下。然后,网络犯罪者会在这个隐藏的窗口中加载一个JavaScript文件。这个文件是Coinhive隐身浏览器挖矿的一个定制版本,这个脚本可以利用用户的CPU资源来为网络犯罪者挖掘Monero加密货币。

10bet,挖矿窗口很难被识别,但很容易清除掉

除非用户将启用了透明操作系统界面,或者自己主动在任务管理器中查找流氓进程,否则他们将没有机会发现这个隐藏的窗口。此外,与大多数其他隐藏性的恶意代码不同的是,该脚本并没有利用用户的全部CPU资源,而是将其活动限制在更低的值上,以期不会导致用户计算机运行速度的减慢。根据Segura的说法,如果用户发现计算机存在异常,他们可以使用Windows任务管理器来关掉与此窗口相关的流氓浏览器进程,或者调整Windows任务栏的大小,并迫使隐藏的窗口变得可见。

10bet 3

 

 10bet 4

目前为止,仅在一个网站上发现这种挖矿脚本

在撰写本文时,该脚本似乎只适用于Chrome浏览器,并且只在一个yourporn[.]sexy色情网站上被发现。Malwarebytes在本月早些时候发布的一份报告中提到,它的安全产品每天都要阻止800万次的加密劫持服务。大多数安全产品和广告拦截浏览器插件都支持阻止隐身浏览器的挖矿操作。自9月中旬以来,我们已经跟踪了大多数主要的加密劫持事件,在推出Coinhive服务之后,这种类型的攻击变得再次流行起来。在2010年初,当挖掘Bitcoin仍然有利可图时,美国当局介入,并关闭了一项与此类似叫做Tidbit的服务。

【编辑推荐】

相关文章