JS挖矿机利用广告分发平台 大规模攻击江苏湖南网民

0×1 概述

腾讯御见威胁情报中心日前发现一广告分发平台被恶意嵌入挖矿JavaScript脚本,该挖矿攻击在江苏、湖南地区集中爆发。挖矿页面单日访问量近百万次,中招机器CPU资源被占用90%以上,直接影响系统运行。 

1.png

0×2 溯源&分析

2.png

此次恶意JavaScript代码存放在国内一个名为“聚赏吧”的电商平台服务器上,页面地址:http://www.jushangba.com/bt/c.html

c.html中导入的c.js为Coinhive JavaScript Miner代码,该代码基于CryptoNight挖矿算法,挖取数字加密货币—门罗币。

此外,为了不被轻易发现,该挖矿脚本仅在非IE浏览器内运行,并通过Math.random()设置50%的启动概率。这就意味着,当用户发现电脑卡顿、CPU占用率过高,怀疑有恶意程序运行进而进行确认时,挖矿环境并不一定重现。

3.png

通过进一步溯源分析,发现可疑广告页面(http://dsp.189zj.cn:8889/api/show.jsp)通过Iframe嵌入了c.html代码。

4.png

该页面通过广告平台投放到一些正常的网页和客户端程序,进行二次传播。当用户看到该广告页面,或者承载其广告的网页/客户端程序在后台静默运行时(此时用户看不到广告),无论用户是否点击查看广告,均会触发挖矿代码执行。

目前已发现有上千款软件受影响:

5.png

目前门罗币的价格约为1800元人民币,按一台普通电脑1060显卡,算力大概是3000 H/s计算,一台机器每天可以挖到0.02个门罗币,折合人民币为34元。无利不起早,有利熬三更,那么这帮“勤奋的”黑客们到底是谁呢?

show.js广告页面内嵌入的JavaScript挖矿代码是网站管理员所为,并非第三方劫持所致,而show.js的投放存在网络劫持的可能性:

1、 首先从jushangba.com 和 189zj.cn的网站备案信息来看,分别从属于 “杭州天卓网络有限公司” 和 “杭州联润科技有限公司”。

6.png

2、 从jushangba.com 和 189zj.cn的注册信息来看,两个域名均为同一个人或公司所注册,可以确认“杭州天卓网络有限公司” 和 “杭州联润科技有限公司”关系微妙。 

7.png

3、 从受影响的用户分布地区来看,主要集中在江苏、湖南等地区,另外通过其IP,可以明显的看出,其IP集中在国内某运营商IP段,可能存在网络劫持。

8.png

0×3 IOC

URL:

http://dsp.189zj.cn:8889/api/show.jsp

http://www.jushangba.com/bt/c.html

http://www.jushangba.com/bt/c.js