CoinHive URL缩短器被滥用，利用黑客网站秘密挖掘加密货币

Coinhive是一种流行的基于浏览器的服务，它让网站所有者嵌入JavaScript代码，利用网站访问者的CPU能力挖掘Monero加密货币以实现货币化。

然而，自2017年年中推出以来，网络犯罪分子一直在滥用该服务，通过向大量被黑客攻击的网站注入自己版本的CoinHive JavaScript代码来非法赚钱，最终诱使数百万访问者在不知情的情况下开采Monero硬币。

由于许多网络应用安全公司和反病毒公司现在已经更新了他们的产品，以检测未经授权的CoinHive JavaScript注入，网络犯罪分子现在已经开始滥用CoinHive的另一项服务来实现同样的目的。

黑客将Coinhive短URL注入被黑客攻击的网站

除了可嵌入的JavaScript miner之外，CoinHive还提供了一个“URL shortener”服务，允许用户为任何URL创建一个短链接，延迟一段时间，以便在用户被重定向到原始URL之前挖掘monero加密货币。

据Malwarebytes的安全研究人员称，大量合法网站被黑客攻击，在一个隐藏的HTML iFrame中不知不觉地加载使用CoinHive生成的短URL，试图迫使访问者的浏览器为攻击者挖掘加密货币。

Malwarebytes说：“在过去几周里，我们的爬虫程序对数百个使用各种CMS的网站进行了编目，所有这些网站都注入了相同的模糊代码，这些代码使用Coinhive的短链接执行静默驱动挖掘。”。

这种未经授权的基于浏览器的挖掘方案在不直接注入CoinHive的JavaScript的情况下工作，Sucuri的研究人员最初在5月底发现了这种方案。

Malwarebytes的研究人员认为，他们发现的被黑客攻击的网站是Sucuri研究人员发现的同一个正在进行的恶意活动的一部分。

研究人员称，黑客在被黑客攻击的网站中添加了一个模糊的javascript代码，一旦加载到访问者的web浏览器上，就会动态地向网页中注入一个不可见的iframe（1×；1像素）。

由于使用隐藏iFrame加载的URL缩短器是不可见的，因此在网页上发现它将非常困难。然后，受感染的网页会自动开始挖掘，直到Coinhive短链接服务将用户重定向到原始URL。
然而，由于短链接重定向时间可通过Coinhive的设置（使用哈希值）进行调整，攻击者迫使访问者的web浏览器在更长时间内连续挖掘加密货币。

Malwarebytes的安全研究员杰罗姆·塞古拉（Jérôme Segura）说：“的确，虽然Coinhive的默认设置是1024个哈希，但这一个需要3712000个哈希才能加载目标URL。”。

此外，一旦达到了所需的哈希数，短URL后面的链接会进一步将用户重定向回同一页面，试图再次启动挖掘过程，网站访问者会误以为网页只刷新过。

骗子们还试图把你的电脑变成加密采矿奴隶

除了隐藏的iFrame，研究人员还发现，网络犯罪分子还向其他被黑客攻击的网站注入超链接，以诱骗受害者下载恶意加密货币挖掘恶意软件，伪装成该软件的合法版本，用于台式机。

研究人员说：“在这次活动中，我们看到一些基础设施被用来诱骗用户下载他们在网上搜索的文件，从而将XMRig miner推向用户。”。

“与此同时，被黑客攻击的服务器被指示下载并运行Linux miner，为肇事者创造利润，但为其所有者带来成本。”

保护自己免受非法浏览器内加密货币挖掘的最佳方法是使用浏览器扩展，如minerBlock和No Coin，它们专门用于阻止流行的挖掘服务利用您的计算机资源。