趋势科技在本周三发文称,他们在3月25日检测到加密货币矿工的数量突然激增(与3月24日相比,增长了108%)。在对矿工流量的追踪后,他们发现其中大部分与MSN日本综合门户有关。进一步分析表明,攻击者已经在该网站上显示的AOL广告平台上修改了脚本,以启动一个矿工程序。
趋势科技随即向AOL团队就此发现就行了通报,而AOL团队随后便对注入的挖矿脚本进行了删除,并在3月27日彻底解决了这个问题。
如上所述,趋势科技发现AOL广告平台advertising.aolp.jp被注入了一个加密货币挖矿脚本(由趋势科技检测为COINMINER_COINHIVE.E-JS),显示在网站(包括微软的MSN门户网站,通常是微软IE浏览器的默认主页)中的广告创造了大量的矿工。
进一步的分析显示,同一活动影响了500多个网站。这些网站都链接到了同一个下载页面,其中包含了上述提到的挖矿脚本。
趋势科技表示,如果用户访问这些网站,并且显示了受感染的广告,他们的浏览器将运行这个挖矿脚本。而这并不需要用户点击广告即可运行,挖矿脚本会在网页关闭时停止。
挖矿脚本的代码基于Coinhive,使用了一个私人采矿池。通常来讲,这是为了避免由于采用公共采矿池而带来的手续费。
趋势科技在对受感染网站检查后发现,大部分恶意内容都托管在Amazon Web Service(AWS)S3存储桶中。而这些S3存储桶并没有得到安全保护,普遍都存在配置错误问题,使得攻击者能够任意修改其托管的内容。在这起活动中,攻击者在不安全的S3存储桶上的JavaScript库末尾嵌入了恶意代码。
在此次事件中,虽然已经有一些网站对S3存储桶的权限进行了修改,但这些网站管理员似乎仍没有注意到被添加的恶意代码。
趋势科技表示,不安全的Amazon S3存储桶自2017年以来一直都是一个问题,在今年已有几个加密货币挖掘计划都涉及到使用它们。值得注意的是,导致这种不安全状态出现的最根本原因并非来源于外部攻击,而是来自于“人”。想要避免自己成为此类网络攻击的受害者,各位网站管理员有必要对S3存储桶采取更细致、更全面的保护措施。