Trustwave的研究人员发明,总部位于美国的非营利性许愿基金会国际网站的访谒者已经误用了计算能力来奥秘挖掘加密货币。
妥协
浏览器内加密不是犯警的,许多网站所有者更喜欢用作告白的赚钱替代品,但他们凡是会奉告访谒者。
然而,在大大都情况下,隐蔽加密是网络犯法分子粉碎网站,在此中注入本身的加密脚本并正在获益的一个标识表记标帜。这正是Make-A-Wish Foundation网站上产生的工作。
注入网站的加密劫持CoinIMP脚本(check.js)是从drupalupdates.tk域加载的,该域已经与已经操作了一个关键的Drupal缝隙的已知告白系列相关联(CVE-2018-7600,别名Drupalgeddon 2)自2018年5月以来妥协网站。
CoinIMP是一个JavaScript矿工,与污名昭着的CoinHive处事供给的一样,可以挖掘Monero。
“这个特定勾当的有趣之处在于它使用差此外技术来制止静态检测,”Trustwave SpiderLabs研究员Simon Kenin 指出。
“它首先要转变承载JavaScript矿工的域名,这自己就是混淆的。WebSocket代办代理还使用差此外域和IP,使黑名单解决方案过时。“
由于基金会的网站运行在Drupal上 - 这是当今最受欢迎的CMS之一 - 打击者极有可能操作CVE-2018-7600或CVE-2018-7602(另一个长途代码缝隙)获取访谒权并注入违规脚本。
“我们试图联系Make-A-Wish组织,虽然他们没有答复我们,但我们很开心地注意到,在我们的外展测验考试后不久,注入的脚本就从他们的网站中删除了,”Kenin指出。
如果他们不但愿他们的网站遭受类似的命运,则催促基于Drupal的网站的打点员将他们的安置更新为可用的最新版本。
如果他们此刻没有这样做,建议他们确保他们的网站已经没有使用加密劫持脚本(或者更糟!)。