FortiGuard分析:让多款 JavaScript 挖矿代码无处遁形

1．CharCode JavaScript

在2017年12月6日，FortiGuard实验室发现了一个被攻击的网站-acenespargc.com。查看源代码，我们发现一个可疑的加密脚本，它使用eval()函数将所有字符转换为数字。我们使用了一个叫做CharCode Translator的工具将这些数字反向转换成字符。然后，我们检索到了一个链接，该链接会重定向到一个诈骗页面或钓鱼网站。

第1部分

第2部分

以上只是一个简单的例子。威胁制作者可以根据地理位置对钓鱼内容进行定制，为了更好地避免被发现，当检测到你之前访问过该钓鱼页面时，它就会消失。

使用这种技术,威胁制作者能够隐藏用肉眼看的到的恶意网站/钓鱼网页/广告URL。

这一技术现在已经被威胁制作者们采用，他们可以在被攻击的网站上隐藏加密货币的挖矿JavaScript，这样访问该网站的任何人都将被“感染”，被“感染”的电脑将会为威胁者进行秘密挖矿。我们将这种行为归为恶意的，是因为它在未经允许的情况下使用他人的资源。

2．封隔器工具隐藏CoinHive脚本

在12月28日，FortiGuard实验室利用我们上面描述的混淆技术，了解了另一个恶意网站——romance-fire[.]com ——该网站是通过一个客户推荐的。该网站包含隐藏的用来加密货币挖矿的恶意代码。

我们发现了编码的脚本，并且通过使用包装器工具对其进行解包，我们发现该脚本与CoinHive有一个连接。

来自源代码的JavaScript

解压缩JavaScript-第1部分

我们注意到URL(hxxp://3117488091/lib/jquery-3.2.1.min.js?v=3.2.11)似乎没有一个有效的IP地址或域名。我们做了一些研究，在KLOTH.NET上转换后，发现“3117488091”是185.209.23.219的十进制IP。下面是结果:

该网站的URL转换成hxxp://185.209.23.219/lib/jquery-3.2.1.min.js?v=3.2.11。从URL中，我们检索到相同的JavaScript模式，因此我们再次打开脚本。

解压缩JavaScript-第2部分

在最后一轮的解压缩之后，我们终于能够检索包含CoinHive URL的脚本了:

解压缩JavaScript-第3部分

3. 来自GitHub的货币挖矿

在2018年1月26日，我们发现了另一个网站——sorteosrd[.]com——该网站通过劫持用户的CPU来挖掘加密货币。这种加密挖矿的恶意软件再次让劫持者在没有经过电脑用户许可的情况下，从挖掘数字货币中获利。我们相信这个网站可能已经被网站管理员攻击或利用了。

网站hxxp://sorteosrd.com的源代码

在用户设备上暗中加密挖矿的影响

从上面的截图中可以看到，在访问站点之后，由于CPU被充分利用，硬币挖矿戏剧性地减慢了PC的速度。

4. 被入侵的网站——黑莓手机被CryptoCoin挖矿感染

另一个CoinHive脚本的例子是在一个意料之外的被攻击的网站——blackberrymobile.com——发现的。

就连黑莓的网站也在短时间内受到了Monero加密货币挖矿的攻击。

5. 受攻击的网站——Milk New Zealand受到了deepMiner工具的感染

此外，我们还发现新西兰最大的乳制品农场之一——Milk New Zealand网站也遭到了攻击。我们的AV实验室检测到了来自该网站的恶意活动，所以我们查看了该网站的源代码，并在github上找到了一个使用deepMiner工具的脚本，在Monero、Electroneum、Sumokoin等网站上挖矿。下面是网站截图：

使用deepMiner的JavaScript

根据上面截图中的数据，我们了解到这种脚本使用DDNS作为其域名，并且只增加了50%的CPU使用率，这样终端用户就不大会注意到。

6. 甚至YouTube也为带有货币挖矿的广告提供服务

加密货币挖矿恶意软件的问题正变得越来越严重。随着通过劫持CPU周期暗中挖矿并从中受益的威胁制造者的数量持续增长，暗中挖矿恶意软件在越来越多的网站出现。一周前，一名威胁制造者设法将一个货币挖矿脚本植入了在线广告中，随后几个恶意广告便出现在YouTube上，幸运的是，YouTube发现了这个问题，并在两个小时内删除了受影响的广告。

恶意加密挖矿的YouTube广告

如何防止或避免被货币挖矿劫持?

1 清除你的浏览器缓存，或者安装清洁工软件来查找和删除电脑上的无用的文件和无效的Windows注册表条目；

2 在浏览器中禁用JavaScript或运行脚本拦截工具或扩展；

3 安装防病毒软件，如:FortiClient；

4 安装并运行广告拦截器或类似的工具，如:Ghostery；

FortiGuard已经把本文列出的所有恶意URL都列入了黑名单。

IOC:

被攻击的网站:

acenespargc[.]com

www[.]romance-fire[.]com

milknewzealand[.]com

新发现的货币挖矿URL:

hxxp://coinhive[.]com

hxxp://minerhills[.]com

hxxp://crypto-webminer[.]com

hxxp://sorteosrd[.]com

hxxp://greenindex[.]dynamic-dns[.]net

hxxps://github[.]com/deepwn/deepMiner