游久网手机游戏盒子(4399多玩久游网等知名网站被挂脚本挖矿)
游久网手机游戏盒子(4399多玩久游网等知名网站被挂脚本挖矿)CPU占用阈值throttle为:50%挖矿的Site_Key为:76kBm8jdLIfdkW6rWAbAs58122fovBys 该页面又嵌入了deepMiner.min.js该JS及其挖矿所用到的关键js脚本均使用了AES Base64加密,加密所使用的密钥为:’NBR2513UXFME9B4MWUTTIUKCELEIBRC4’ 对其进行解密后可看到是使用了中间件deepMiner构造自建的门罗币Web挖矿矿池;挖矿所用到的矿池地址:wss://kw.c******g/api对其进行测试分析的时候发现其最新的广告位中已经更换了iframe的链接地址,其中直接嵌入了coinhive挖矿脚本:
近日,360云安全系统监测到,国内的璧合科技DSP广告平台被嵌入了挖矿脚本,该脚本随广告平台投放的广告一起插入到了网页中,进而传播。
据悉,当该嵌入了挖矿脚本的广告代码被加载起来,无论用户是否点击查看广告,均会自动触发挖矿代码的执行。挖矿页面单日访问量逾百万次,4399、多玩网、东方网、久游网等多家知名站点受到影响,中招机器CPU资源会被大量占用,直接影响系统正常运行。
该广告平台,通过deepMiner自建了矿池,而不只是使用常见的coinhive。其中,此次挖矿脚本针对的是门罗币,广告位插入挖矿JavaScript过程简图如下:
该恶意挖矿JS代码存放在一个广告分发平台上,从广告位代码中看到其通过iframe嵌入了一个页面:kw*****g/kww.html#0.5
该页面又嵌入了deepMiner.min.js该JS及其挖矿所用到的关键js脚本均使用了AES Base64加密,加密所使用的密钥为:’NBR2513UXFME9B4MWUTTIUKCELEIBRC4’
对其进行解密后可看到是使用了中间件deepMiner构造自建的门罗币Web挖矿矿池;挖矿所用到的矿池地址:wss://kw.c******g/api
对其进行测试分析的时候发现其最新的广告位中已经更换了iframe的链接地址,其中直接嵌入了coinhive挖矿脚本:
挖矿的Site_Key为:76kBm8jdLIfdkW6rWAbAs58122fovBys
CPU占用阈值throttle为:50%
据悉,目前已有几千个受影响站点被发现,部分受影响站点如下:
|
263zw |
Bbs.gfan |
|
80dyy |
Bbs.duowan |
|
chinadmd |
52pk |
|
Mini.eastday |
4399 |
|
Shop.9you |
biquge5 |
|
biquge |
qnvod |
|
shu008 |
xiwuji |
|
hanfan |
dyxia |
|
meijutt |
ddshu |
|
365if |
cnrexue |
|
haoqu |
mh160 |
此前有报道称,BT种子网站海盗湾也曾透过JavaScript挖矿赚取的门罗币,以增加网站的收益。
门罗币与比特币类似,都是去中心化的虚拟货币,主要是依循所有使用者所认可的机制运作,并通过程序自动发行。
阿根廷一家星巴克店铺也被曝出店里的公共Wi-Fi暗藏恶意代码。它不会盗取用户的个人信息,也不会破坏电脑系统,而是劫持用户的电脑挖门罗币。该行为是未经用户允许侵占CPU/GPU,结果就是电脑卡顿。
当时星巴克回应,称这家店的 Wi-Fi 不是星巴克提供的,问题在于服务提供商,并表示将与服务提供商紧密合作。
值得一提的是,南方周末网站(infzm)的OpenX 广告业务模块也曾被恶意植入挖矿脚本,访问时CPU会被占满。
随后,南方周末发布有关说明,称在专业部门支持下,现已查清漏洞,删除植入,用户可放心浏览使用网站。
