简介

1月24日，趋势科技（trendmicro）监测到Coinhive web挖矿机的数量增长了3倍，原因竟是因为一个恶意广告（malvertising）活动。研究人员发现高流量站点中的广告不仅使用了Coinhive（样本名为JS_COINHIVE.GN），还有一个连接到私有pool的单独的web挖矿机。攻击者在传播挖矿机过程中滥用了谷歌的DoubleClick服务。（DoubleClick是美国一家网络广告服务商,主要从事网络广告管理软件开发与广告服务,对网络广告活动进行集中策划、执行、监控和追踪）。研究人员的监测数据发现受影响的国家包括日本、法国、台湾、意大利和西班牙。

分析

1月24日，研究人员监测到Coinhive挖矿机的数量增长了285%。而1月18日，5个恶意域名的流量也有所增长。在仔细研究了网络流量后，研究人员发现流量的来源是DoubleClick广告服务。

研究人员对含有恶意广告的页面进行了分析，发现了2个嵌入的web挖矿脚本，其中一个脚本展示的广告就来源于DoubleClick。受影响的web页面会展示合法的广告而两个web挖矿机会静默地执行任务。研究人员推测攻击者在合法网站上使用这些广告是为了攻击更多的用户，而不是更多的设备。1月24日之后，上面提到的加密货币矿机流量开始降低。

图1. 1月18日~24日的恶意广告活动

图2. 合法网站和广告的注入流

恶意广告含有恶意的JS脚本可以生成一个1~101之间的随机数。当生成的数大于10时，就会调用coinhive.min.js挖矿，会使用80%的CPU计算力。对其他10%的计算力，会运行一个私有的web挖矿机。这两个web挖矿机配置的阀值是0.2，也就是说挖矿机会使用80%的CPU资源进行挖矿。

图3. 嵌入web矿机和脚本用来接收广告

这个私有的web挖矿机脚本名为mqoj_1.js，还有一个基于Coinhive的JS代码。经过修改的web挖矿机会用一个不同的挖矿池wss://ws.l33tsite.info:8443，这样做是为了避免Coinhive 30%的交易费用。

图4. 修改后的web矿机（左）和原始的Coinhive web矿机（右）

图5. 私有web矿机设定的细节

解决方案

拦截运行在浏览器上的基于JS的应用可以预防Coinhive矿机使用CPU资源。更新软件和对软件打补丁可以缓解加密货币恶意软件和利用系统漏洞的威胁带来的影响。

IoC