網頁廣告莫亂點，一不小心就變挖礦機！

「網頁廣告」想必大家並不陌生，隨著多屏互動、O2O等營銷理論備受甲方爸爸們的追捧，網頁廣告作為其營銷生態中不可或缺的重要組成，近幾年廣告投入也急劇上漲。正值年終總結季，這不諸如CPC、CPA、CPM等相關的數據指標活躍在各大市場部總結的報表上。面對如此熱門的資源，黑客怎麼會視而不見？亞信安全發現，Coinhive網頁式挖礦程序的活躍度因惡意網路廣告突然翻了三倍。

對相關流量分析研究後，亞信安全網路監測實驗室得出結論，這些出現在高流量網站上的惡意廣告不僅使用了Coinhive挖礦程序（已命名為：JS_COINHIVE.GN），還使用了另一個連接到某私人礦池的網頁式挖礦程序。黑客利用了Google的網路廣告服務DoubleClick來散布其惡意程序。據統計，此波受影響的國家包括：日本、法國、義大利和西班牙。

監測數據顯示，Coinhive挖礦程序的活動量在1月24日幾乎暴增285%。而五個惡意網域的流量在1月18日開始飆高。在仔細研究網路流量後，安全專家發現這些流量都是DoubleClick的廣告所造成。因為對含有惡意廣告的網頁進行分析時，發現網頁被嵌入了兩段不同的挖礦腳本，其中一段是插入來自DoubleClick的廣告。雖然這些網頁所顯示的是正常廣告，但背後卻有這兩個挖礦程序在暗中執行。據推測，黑客透過這些正常合法的網站廣告能獲取更多的受害者數量。

【惡意廣告的活動量變化（1月18-24日）】

【合法網站與合法廣告之間的注入流程】

【廣告內嵌一個挖礦程序以及一段用來接收廣告的腳本】

經過解碼之後，那個私人網頁式挖礦程序會呼叫「mqoj_1.js」，但仍有一部分JavaScript代碼是以Coinhive為基礎。修改過的挖礦程序會連上另一個礦池：「wss://ws.l33tsite.info:844」。這是為了規避Coinhive所收取的30%傭金。

【修改過的網頁式挖礦程序（左）與原始的Coinhive挖礦程序（右）】

【私人網頁式挖礦程序的設定細節】

亞信安全教你如何防範

避免瀏覽器執行JavaScript應用程序，就能防止Coinhive挖礦程序使用CPU資源。對應用、軟體尤其是瀏覽器要定期修補、更新，也能降低數字加密貨幣挖礦程序的影響，並防範其他威脅攻擊系統漏洞。

亞信安全OfficeScan可有效偵測並攔截惡意文件和所有相關網址來保護一般使用者和企業以防範上述威脅。此外，OfficeScan還具備高準度機器學習、網站信譽評等、行為監控、應用程序控管等功能，可有效防範這類虛擬貨幣挖礦程序以及其他相關威脅。

入侵指標（IoC）

SHA256哈希碼（亞信安全命名為：JS_COINHIVE.GN）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！