黑客已经感染了超过3,500个网站，使用隐秘的加密货币挖矿脚本，悄悄劫持访问者的浏览器以生成门罗币，这是一种以隐私为中心的加密货币，旨在使交易更难追踪。

恶意软件并不窃取密码或锁定文件。相反，它悄悄地将访问者的浏览器变成门罗币挖矿引擎，在未获得用户同意的情况下抽取少量处理能力。

截至本文撰写时，该活动仍在进行中，最初是由网络安全公司c/side的研究人员发现的。

“通过限制CPU使用率并在WebSocket流中隐藏流量，它避免了传统加密劫持的明显迹象，”c/side在周五披露。

加密劫持，有时拼写为一个词，是未经授权使用某人的设备进行加密货币挖矿，通常是在所有者不知情的情况下进行的。

这种战术在2017年底首次引起主流关注，随着Coinhive的崛起，这是一项现已关闭的服务，曾短暂主导加密劫持场景，直到2019年被关闭。

同年，关于其普遍性的报告变得相互矛盾，一些人告诉Decrypt，尽管一些威胁研究实验室确认当时有29%的增长，但它并没有回到“以前的水平”。

‘保持低调，缓慢挖矿’

五年多后，这种战术似乎正在悄然复苏：从嘈杂、占用CPU的脚本重新配置为低调的挖矿程序，旨在隐秘和持久。

与其烧坏设备，今天的活动在数千个网站上悄然传播，遵循一种新的剧本，正如c/side所说，旨在“保持低调，缓慢挖矿”。

根据一位熟悉该活动的信息安全研究人员的说法，这种战略的转变并非偶然，他在与Decrypt交谈时要求匿名。

该组织似乎正在重用旧基础设施，以优先考虑长期访问和被动收入，Decrypt被告知。

“这些组织很可能已经控制了数千个被黑的WordPress网站和电子商务商店，来自过去的Magecart活动，”研究人员告诉Decrypt。

Magecart活动是黑客将恶意代码注入在线结账页面以窃取支付信息的攻击。

“植入挖矿程序是微不足道的，他们只需添加一个脚本来加载混淆的JS，重新利用现有的访问权限，”研究人员说。

但研究人员指出，令人瞩目的是该活动的运作方式是多么安静，使得用旧方法很难检测到。

“过去检测加密劫持脚本的一种方法是通过其高CPU使用率，”Decrypt被告知。“这一波新潮流通过使用限制的WebAssembly挖矿程序来避免这一点，这些程序保持在雷达之下，限制CPU使用率并通过WebSockets进行通信。”

WebAssembly使代码能够在浏览器中更快地运行，而WebSockets则保持与服务器的持续连接。结合起来，这使得加密矿工能够在不引起注意的情况下工作。

风险并不是“直接针对加密用户，因为脚本并不会耗尽钱包，尽管从技术上讲，他们可以将钱包耗尽程序添加到有效载荷中，”这位匿名研究人员告诉Decrypt。“真正的目标是服务器和Web应用程序的所有者，”他们补充道。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。