一個叫做Image Previewer的Firefox擴展，它不僅顯示彈出窗口，而且還將Monero瀏覽器中的礦工注入到Firefox中。雖然已經看到大量的Chrome瀏覽器擴展插件注入瀏覽器的礦工，但這是我第一次看到Firefox插件的這種行為。

圖片預覽器插件是由偽裝成手動Firefox更新的網站推廣的，但實際上是向訪問者推送Firefox插件。這是通過重複的Javascript警報和用戶身份驗證提示，推動用戶直接從網站安裝插件。

假裝更新頁面

當安裝這個插件時，它會將一個iframe注入到一個Javascript文件中，該文件通過彈出窗口訪問您的網站，鏈接點擊劫持和廣告注入。這是通過首先連接到http://searchye.tools/cfg/cnt.json來完成的，它將響應一個將被注入頁面的URL，如下所示

注入腳本

然後，插件將在iframe中打開https://devappgrant.space/lib/iframe.html?u=6081&t=0.5頁面。該頁面包含瀏覽器內部Monero礦工的設置腳本。URL中使用的變數非常重要，它們指定與礦工關聯的用戶標識和油門，這是礦工線程空閑的時間百分比。這個設置腳本將導致位於https://devappgrant.space/lib/xmr.main.min.js的主要礦工腳本在15分鐘內載入。

在瀏覽器礦工載入程序腳本的一部分

顯示Firefox使用44％的CPU

當Firefox啟動的時候，這個礦工被注入到瀏覽器中，要刪除插件，請打開Firefox並同時按下Ctrl+Shift+A鍵或單擊Firefox菜單並選擇插件以訪問已安裝的插件/擴展程序列表。

Firefox擴展列表

只需點擊 擴展名旁邊的刪除按鈕即可刪除插件。

本文參考

9ima.com

Lawrence Abrams

bleepingcomputer

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！