Google, รัฐบาลและชุดชั้นใน: การวิเคราะห์การเข้าถึงของ “มัลแวร์” ของ Coinhive

บทนำ

คุณอาจเคยเห็นพาดหัวข่าวล่าสุดเกี่ยวกับสคริปต์การขุด Coinhive มีการพบเห็นในเว็บไซต์จำนวนมากและแม้แต่แอปหลายสิบรายการใน Google Play Store แม้ว่าสคริปต์ Coinhive จะถูกละเมิดอย่างไม่ต้องสงสัย แต่คำว่า“ มัลแวร์” นั้นไม่จำเป็นต้องเป็นคำอธิบายที่ถูกต้องหรือยุติธรรม มันเป็นเพียงสคริปต์การขุดของเบราว์เซอร์ อาจมีวันหนึ่งที่ผู้ใช้พอใจที่จะอนุญาตให้เข้าถึงพลังการประมวลผลส่วนหนึ่งของตนในขณะที่เยี่ยมชมเว็บไซต์หนึ่ง ๆ เพื่อแลกกับการไม่มีโฆษณาที่ล่วงล้ำ Malwarebytes เมื่อเร็ว ๆ นี้ ระบุว่าสคริปต์เป็นมัลแวร์ มากกับ ความผิดหวังของบางคน.

คำอธิบายที่เหมาะสมยิ่งขึ้นสำหรับการใช้สคริปต์นี้ที่น่ากลัวยิ่งขึ้นคือ:

นักแสดงที่ไม่ดีกำลังใช้ประโยชน์จากช่องโหว่ที่มีอยู่เพื่อแทรกสคริปต์ Coinhive ลงในโค้ดผู้ดูแลเว็บที่ไม่สงสัย.

เราตัดสินใจที่จะดูการเข้าถึงปัจจุบันของสคริปต์ Coinhive มีกี่เว็บไซต์ที่ได้รับผลกระทบและมีความคล้ายคลึงกันระหว่างไซต์เหล่านั้น?

การค้นหาไซต์ที่ได้รับผลกระทบ

เนื่องจากสคริปต์ Coinhive ทำงานจากตำแหน่งส่วนกลางจึงค่อนข้างง่ายในการค้นหาไซต์ที่กำลังใช้งานไม่ว่าพวกเขาจะรับรู้รหัสหรือไม่ก็ตาม ไซต์ที่เรียกใช้สคริปต์มักจะมีโค้ดต่อไปนี้ฝังอยู่ในเว็บไซต์ของตน (พร้อมกับรูปแบบที่คล้ายกัน):

src ="https://coinhive.com/lib/coinhive.min.js">

ดังนั้นสิ่งที่เราต้องทำเพื่อค้นหาไซต์เหล่านี้คือสแกนซอร์สโค้ดเพื่อตรวจสอบการอ้างอิงถึงสคริปต์ Coinhive เราสแกนฐานข้อมูล go-to ของเราซึ่งมีซอร์สโค้ดเว็บไซต์ที่อัปเดตล่าสุดสำหรับโดเมนมากกว่า 200 ล้านโดเมน จากนั้นเราได้ทำการตรวจสอบสคริปต์ Coinhive กับเว็บไซต์สดและได้รับจำนวนการเข้าชมดังต่อไปนี้:

  • 8,786 โดเมน

มันจะปลอดภัยที่จะถือว่าค่าประมาณนี้อยู่ในระดับต่ำเนื่องจากปัจจัยบางประการ:

  • เรากำลังตรวจสอบหน้าแรกของเว็บไซต์เท่านั้นไม่ใช่ทุกหน้า
  • 99 +% ของไซต์ที่ตรวจสอบเป็นโดเมนราก (ไม่ใช่โดเมนย่อย)
  • บางไซต์อาจไม่สามารถใช้งานได้ในขณะที่ทำการตรวจสอบ
  • บางไซต์อาจต้องการให้ผู้ใช้เข้าสู่ระบบ
  • เราไม่ได้แยกวิเคราะห์ทุกเว็บไซต์ที่มีอยู่!

บันทึก: โดเมนและเมตริกที่เผยแพร่ในโพสต์นี้ถูกรวบรวมเมื่อวันที่ 10 พฤศจิกายน 2017 เว็บไซต์เฉพาะที่เรียกใช้สคริปต์ Coinhive และเมตริกของโดเมนเหล่านี้จะเปลี่ยนไปเมื่อเวลาผ่านไป เราจะอัปเดตโพสต์นี้เป็นระยะ.

คว้าเมตริก

ตอนนี้เรามีรายชื่อโดเมนที่ได้รับผลกระทบมาให้เราแยกวิเคราะห์เมตริกกัน เราจะดึงข้อมูลต่อไปนี้สำหรับแต่ละโดเมน:

  • TLD (โดเมนระดับบนสุดเช่น. com, .net, .co.uk เป็นต้น)
  • ภาษา
  • CMS หรือ Framework (ระบบจัดการเนื้อหาเช่น Drupal, WordPress เป็นต้น)
  • หมวดหมู่เว็บไซต์
  • อันดับ Alexa
  • สถานะ Google Safe Browsing
  • ที่อยู่ IP ของโฮสติ้ง
  • โฮสติ้ง Geolocation
  • อันดับ SEO Majestic
  • ปริมาณการใช้งาน Search Engine โดยประมาณ
  • หุ้น Facebook

เครื่องมือเดียวในสายตาของเราสำหรับงานเช่นนี้คือ A-Parser, เครื่องมือแยกวิเคราะห์ที่ใช้งานได้หลากหลายซึ่งสามารถแยกวิเคราะห์เมตริกส่วนใหญ่ที่เราต้องการได้นอกกรอบและสามารถปรับแต่งได้อย่างมหาศาล.

การตั้งค่า A-Parser เริ่มต้นของเรา

แหล่งข้อมูลอื่น ๆ ที่เราจะใช้เพื่อรวบรวมเมตริกของเรามีดังนี้

  • เราจะใช้ไฟล์ Webshrinker Category API เพื่อรับหมวดหมู่เว็บไซต์.
  • เราจะใช้ tldextract ของ John Kurkowski เพื่อแยก TLDs.
  • เราจะใช้ตัวแยกวิเคราะห์“ Net :: DNS” ของ A-Parser เพื่อดึงข้อมูลที่อยู่ IP จากนั้นป้อนข้อมูลนี้ลงใน ipinfo.io API โดยใช้ตัวแยกวิเคราะห์ที่กำหนดเองภายใน A-Parser, เพื่อรวบรวมตำแหน่งการโฮสต์เว็บไซต์.
  • เราจะใช้ไฟล์ Majestic API เพื่อรวบรวมข้อมูล SEO TF (Trust Flow) และ CF (Citation Flow).
  • เราจะใช้ไฟล์ Safe Browsing Lookup API (v4) เพื่อรวบรวมข้อมูล Safe Browsing.

หลังจากการทดสอบการตั้งค่าอย่างรวดเร็วเราได้ทำให้ A-Parser ทำงานและเริ่มทำงานกับสคริปต์สำหรับเมตริกที่ไม่รองรับด้านบน.

ผลการทดสอบ a-parserผลลัพธ์ดูดี!

ผลลัพธ์เบื้องต้น

ลงโพรงกระต่ายเราไป! ผลลัพธ์จากการแยกวิเคราะห์ของเราแสดงอยู่ในตารางด้านล่าง.

ตารางวิเคราะห์ Coinhive

เปิดใน Google ชีต

การสังเกตทันที

ในการตรวจสอบข้อมูลของเราสิ่งหนึ่งที่เห็นได้ชัดในทันทีคือมีโดเมนมากมายหรือ. ir (อิหร่าน) ทั้งหมดโฮสต์บนที่อยู่ IP เดียวกันโดยใช้ PHP Framework เดียวกัน Laravel.

แผนภูมิ TLDแผนภูมิ CMSแผนภูมิ IP

นั่นคือ 4,462 (50.8%) ของโดเมนบน .TLDs, 4,565 (52%) ในวันที่ 108.61.170.199 ไอพี และ 4,347 (49.5%) กำลังทำงาน กรอบ Laravel. ในตอนนี้ถือว่าปลอดภัยแล้วว่าโดเมนส่วนใหญ่ที่มีเมตริกเหล่านี้เชื่อมโยงกัน.

มาเรียกใช้แบบสอบถาม MySQL ง่ายๆเพื่อตรวจสอบ:

เลือก COUNT (*) จาก `coinhive_table` WHERE` tld` = ‘ir’ และ `cms` = ‘Laravel’ และ` ipaddress` = ‘108.61.170.199’;

4205 ผลลัพธ์

มีสองสิ่งที่ควรทราบ ณ จุดนี้:

  1. เอนทิตีเดียวบางแห่งมีแนวโน้มที่จะรับผิดชอบโดเมนอิหร่านกว่า 4,205+ โดเมนที่กำลังเรียกใช้สคริปต์.
  2. โดเมนเหล่านี้ควรถูกลบออกเพื่อตรวจสอบข้อมูลของเราเพิ่มเติมและได้รับภาพรวมที่ดีเพิ่มเติมในภายหลัง.

การเชื่อมต่ออิหร่าน

โดเมนเหล่านี้ควรค่าแก่การขุดเพิ่มเติมลองมาดูตัวอย่างโดเมนบางส่วน:

0002.ir

0004.ir

0005.ir

aaaaaa.ir

aadd.ir

aaii.ir

zbd.ir

zbf.ir

zbk.ir

อย่างที่คุณเห็นสิ่งเหล่านี้ดูเหมือนว่าได้รับการลงทะเบียนโดยใช้สคริปต์ธรรมดาที่มีรายการ 0-9 และ a-z.

นี่คือลักษณะของเว็บไซต์ที่เราตรวจสอบเฉพาะจุดเหมือนกันยกเว้นชื่อโดเมน:

ไซต์ทั้งหมดมีลักษณะเหมือนกัน

สิ่งนี้เริ่มดูเหมือนโดเมนที่ถูกแฮ็ก / ถูกใช้ประโยชน์น้อยลงและเหมือนอย่างอื่น! โดเมนทั้งหมดขายและจอดผ่าน dns4.ir รายละเอียด WHOIS ของเว็บไซต์นี้ตรงกับ WHOIS สำหรับหลายโดเมนเหล่านี้.

ไม่ปรากฏการเล่นผิดกติกา แต่มีคำถามบางข้อเกิดขึ้น โดยหลักการแล้วใครบางคนได้รับผลกำไรจากการจดทะเบียนโดเมนกว่า 4,000 โดเมนโดยประมาณคนละ $ 25? โดเมนไม่แสดงปริมาณการค้นหาโดยประมาณไม่มีลิงก์ขาเข้าและมีเพียงไม่กี่รายการที่แสดงกิจกรรมทางสังคมใด ๆ ไม่ว่าจะมีบางสิ่งที่เป็นลางร้ายเกิดขึ้นหรือนี่เป็นเพียงการตั้งค่าที่จอดรถโดเมนที่ซับซ้อนยังไม่ทราบ เราเอนเอียงไปตามแนวคิดที่ว่านี่เป็นเพียงการสร้างรายได้จากโดเมนที่พักซึ่งตั้งขึ้นโดยก โดเมนเนอร์.

ผลลัพธ์ที่กรองแล้ว

เราทำความสะอาดโดเมน. air จากผลลัพธ์ของเราและดูข้อมูลอีกครั้ง ตอนนี้เรากำลังดู 4,324 โดเมน.

ตารางวิเคราะห์ Coinhive ที่กรองแล้ว

เปิดใน Google ชีต

หุ้น Facebook

แผนภูมิหุ้น Facebook

มีบางโดเมนที่มีการแชร์บน Facebook เป็นจำนวนมากส่วนใหญ่ต่ำกว่า 5,000 และไซต์จำนวนมากที่ไม่มีเลย 2,194 โดเมน (50.7%.)

สองโดเมนมีค่าที่ใหญ่เกินไปสำหรับกราฟของเรา:

  • piratebay.red – 737,526,323 หุ้น
  • mobileoffers.me – 7,536,447 หุ้น

ปริมาณการค้นหาโดยประมาณ

แผนภูมิปริมาณการค้นหาโดยประมาณ

แผนภูมินี้แสดงปริมาณการค้นหาโดยประมาณของโดเมน อย่างที่คุณเห็นมีบางโดเมนที่มีการเข้าชมจำนวนมาก อย่างไรก็ตาม, 3,636 โดเมน (84.1%) ไม่มีการเข้าชมที่คาดการณ์ไว้เลย.

อันดับ Alexa (ต่ำกว่าดีกว่า)

แผนภูมิอันดับ Alexa

ในกรณีที่โดเมนได้รับคะแนนจริงอันดับ Alexa ของเว็บไซต์จะกระจายอย่างเท่าเทียมกัน มีเปอร์เซ็นต์ที่สำคัญของโดเมนเหล่านี้ที่มีคะแนนต่ำกว่า 5 ล้าน (เว็บไซต์ 5 ล้านอันดับแรกที่มีอยู่อ้างอิงจาก Alexa) อย่างไรก็ตามโดเมนส่วนใหญ่ไม่มีการจัดอันดับ เราตั้งค่าโดเมนที่ไม่มีการจัดอันดับเหล่านี้ให้มีคะแนน 21,000,000 ดังนั้นจึงสามารถมองเห็นได้ที่นี่ (Alexa ให้คะแนนเว็บไซต์สูงสุด 20 ล้านเว็บไซต์เท่านั้น) มีทั้งหมด 2,678 (61.9%) โดเมนที่ไม่มีการจัดอันดับ.

CMS ได้รับผลกระทบ

แผนภูมิ CMS

มีโดเมนจำนวนมากที่สุดที่ใช้ WordPress ซึ่งไม่น่าแปลกใจเมื่อพิจารณา เป็นที่นิยมมาก ในการดำรงอยู่ อย่างไรก็ตามมันเป็นเรื่องฉาวโฉ่สำหรับการเป็น ถูกแฮ็กเป็นประจำ.

ในตอนนี้ยังไม่มีความชัดเจนว่าโดเมน WordPress เหล่านี้ถูกบุกรุกหรือไม่ ในการสร้างสิ่งนี้จะต้องมีการสอบสวนเพิ่มเติม เราสามารถตรวจสอบเวอร์ชัน WordPress ที่ใช้งานและวิเคราะห์แต่ละไซต์เพื่อพิจารณาสิ่งนี้ซึ่งเป็นสิ่งที่เราอาจแก้ไขในภายหลัง.

ภาษาของเว็บไซต์

แผนภูมิภาษาของเว็บไซต์

ภาษาอังกฤษเป็นภาษาหลักที่ใช้ แต่มีเว็บไซต์จำนวนมากที่ใช้ภาษารัสเซีย อาจเป็นเพราะผู้ดูแลเว็บชาวรัสเซียมีความเชี่ยวชาญเกี่ยวกับ cryptocurrencies และเทคโนโลยีมากกว่าผู้ดูแลเว็บทั่วไปของคุณ.

สถานะ Google Safe Browsing

แผนภูมิ Google Safe Browsing

เว็บไซต์ส่วนใหญ่ถูกมองว่าปลอดภัยโดย Google โดยมีเพียง 47 เว็บไซต์ที่ทำเครื่องหมายว่าไม่ปลอดภัย สิ่งนี้แสดงให้เห็นว่าตอนนี้ Google ไม่ได้ถือว่าสคริปต์ Coinhive เป็นมัลแวร์.

หมวดหมู่เว็บไซต์

แผนภูมิหมวดหมู่เว็บไซต์

57.4% ของเว็บไซต์ถูกจัดประเภทเป็นเว็บไซต์ธุรกิจ เราได้ตรวจสอบไซต์เหล่านี้บางส่วนแล้วและรู้สึกว่าหมวดหมู่นี้ค่อนข้างกว้างดังนั้นข้อมูลที่นี่จึงไม่ได้ใช้ประโยชน์มากนัก ดูเหมือนว่ามีเว็บไซต์สำหรับผู้ใหญ่จำนวนพอสมควรที่จะใช้สคริปต์นี้ซึ่งอาจจะพยายามอย่างเต็มที่ที่จะไม่ทำ ขัดจังหวะ(!) ผู้เยี่ยมชมด้วยโฆษณาหรือใช้ Coinhive เป็นแหล่งรายได้เพิ่มเติม.

เมตริก SEO

เมตริก SEO ที่เราใช้คือ TF (Trust Flow) และ CF (กระแสอ้างอิง) จาก ตระหง่าน. ทั้งคู่ได้คะแนนในระดับระหว่าง 0-100 เพื่อสรุปเมตริกทั้งสองนี้:

  • Trust Flow เป็นตัวบ่งชี้ว่าลิงก์ย้อนกลับที่ชี้ไปยังไซต์นั้นน่าเชื่อถือเพียงใด หากเว็บไซต์เชื่อมโยงจากเว็บไซต์ที่เชื่อถือได้คะแนนจะสูงหากเชื่อมโยงจากเว็บไซต์ที่น่าสงสัยคะแนนจะต่ำ.
  • Citation Flow ใช้เพื่อพิจารณาว่าเว็บไซต์มีอิทธิพลเพียงใดโดยพิจารณาจากจำนวนลิงก์ที่เข้ามา.

แผนภูมิพื้นที่เมตริก SEO

ไซต์ที่ได้คะแนนสูงกว่า 0 ดูเหมือนจะมีการกระจายคะแนนจาก Majestic ค่อนข้างสม่ำเสมอ ในการแจกแจงรายละเอียดเมตริกทั้งสองนี้เพิ่มเติมเราได้สร้างแผนภูมิเส้น:

แผนภูมิเส้นการไหลของความน่าเชื่อถือ

แผนภูมิเส้นการอ้างอิง

อย่างที่คุณเห็นไซต์ส่วนใหญ่มีคะแนน 0 โดยมีไซต์จำนวนมากที่ให้คะแนนที่ส่วนล่างสุดของมาตราส่วน.

TLD ได้รับผลกระทบ

แผนภูมิ TLD

โดเมน. com จำนวนมาก แต่อีกครั้งคือโดเมน. ru (รัสเซีย) จำนวนมาก นอกจากนี้ยังมีโดเมน. in (อินเดีย) และ. de (เยอรมัน) เป็นจำนวนมาก.

ที่อยู่ IP ได้รับผลกระทบ

ข้อมูลของเรามีที่อยู่ IP ทั้งหมด 2,936 รายการ เราสามารถวิเคราะห์เพิ่มเติมได้ว่าที่อยู่ IP เฉพาะโฮสต์โดเมนที่ได้รับผลกระทบหลายรายการด้านล่างนี้หรือไม่:

แผนภูมิที่อยู่ IP

ดังที่เปิดเผยในแผนภูมิที่อยู่ IP บางแห่งกำลังโฮสต์เว็บไซต์จำนวนมาก เราจะเห็นว่าเจ้าของโดเมน. ir ที่ใช้ IP 108.61.170.199 ยังคงมีบางโดเมนในข้อมูลของเราที่โฮสต์บน TLD ที่แตกต่างกัน.

IP อื่น ๆ ที่โฮสต์สคริปต์บนหลายโดเมนสามารถอธิบายได้จากรายการต่อไปนี้:

  1. ผู้ดูแลเว็บโฮสต์หลายโดเมนบนเซิร์ฟเวอร์เดียวและติดตั้งสคริปต์ในหลายโดเมน.
  2. โฮสต์เว็บถูกบุกรุกและหลายเว็บไซต์บนโฮสต์นั้น“ ติดไวรัส”

สถานที่โฮสต์

แผนภูมิที่ตั้งโฮสติ้ง

ไซต์ส่วนใหญ่ที่ใช้สคริปต์ Coinhive โฮสต์อยู่ในสหรัฐอเมริกาโดยที่เยอรมนีและรัสเซียก็มีตัวเลขที่โดดเด่นเช่นกัน.

ข้อมูลสำคัญ – เชื่อถือได้ & ไซต์ที่มีการเข้าชมสูง

เว็บไซต์ชุดชั้นใน

  • penelopel Lingerie.fr

penelopel Lingerie.fr

ร้านขายชุดชั้นในออนไลน์ที่ดูเหมือนจะเป็นที่นิยมสำหรับลูกค้าชาวฝรั่งเศส อันดับแรก เพิ่มเข้าไปใน Wayback Machine ในเดือนเมษายน 2013 โดยมีที่อยู่ร้านค้าจริงบนไซต์เดียวกันกับที่มีอยู่ในปัจจุบัน.

  • หุ้น Facebook: 3,177
  • อันดับ Alexa: 3,026,277

คำตัดสิน: อาจถูกแฮ็ก

นักดนตรี

  • vintageculture.com.br

vintageculture.com.br

ดูเหมือนว่าเว็บไซต์นี้จะเป็นเว็บไซต์หลักสำหรับนักดนตรีชาวบราซิล “วัฒนธรรมวินเทจ” นอกเหนือจากสคริปต์ Coinhive แล้วไซต์ยังทำงานได้อย่างถูกต้อง เป็นการยากที่จะระบุว่าไซต์นี้กำลังเรียกใช้สคริปต์เพื่อแสวงหาผลกำไรหรือว่าสคริปต์ถูกวางไว้โดยมีเจตนาร้าย.

  • หุ้น Facebook: 24,341
  • อันดับ Alexa: 1,959,414

คำตัดสิน: ไม่ทราบ

Google Blogs

  • sohoandroid.blogspot.com
  • rickandmortyfullhd.blogspot.com
  • joatamon.blogspot.com
  • ilikewarp.blogspot.com
  • piliday.blogspot.com
  • hentairpgmaker.blogspot.com
  • proboxnatv.blogspot.com
  • Farmersnetly.blogspot.com
  • i-ptv.blogspot.com
  • ozlemsencanblog.blogspot.com
  • androidrepublica.blogspot.com
  • angiofoods.blogspot.com
  • megavideotunisie.blogspot.com
  • adrenetgames.blogspot.com
  • downloadroat.blogspot.com

sohoandroid.blogspot.com

ที่น่าสนใจคือแพลตฟอร์มของ Google Blogger / Blogspot มีโดเมนย่อยหลายโดเมนซึ่งใช้งานสคริปต์ coinhive ดูเหมือนว่าผู้ใช้สามารถอ้างอิง Javascript ภายนอกได้ดังนั้นพวกเขาจึงสามารถสร้างบล็อก “สแปม” บนแพลตฟอร์ม Google และใช้สคริปต์ Coinhive เพื่อสร้างรายได้.

  • หุ้น Facebook: 0 ถึง 766
  • อันดับ Alexa: ไม่ถูกจัดอันดับเป็น 209,635

VERDICT: เพิ่มโดยผู้ใช้

ไซต์แชร์ไฟล์

  • piratebay.red
  • kickass.cd
  • alluc.ee

piratebay.red

Pirate Bay คือ โดยใช้สคริปต์ coinhive อย่างเปิดเผย เป็นวิธีการสร้างรายได้ มันจะปลอดภัยที่จะคิดว่าสิ่งเดียวกันนี้สามารถพูดได้เกี่ยวกับเว็บไซต์แชร์ไฟล์อื่น ๆ ที่เราพบ.

  • หุ้น Facebook: 2,437 ถึง 737,526,323
  • อันดับ Alexa: 16768 ถึง 2214

VERDICT: เพิ่มโดยผู้ดูแลเว็บ

ไซต์ของรัฐบาล

  • secheep.gov.ar
  • cultura.rj.gov.br (ดูเหมือนว่าได้รับการทำความสะอาดแล้ว)

secheep.gov.ar

แทบช็อก! พบว่าเว็บไซต์ของรัฐบาลสองแห่งกำลังเรียกใช้สคริปต์ coinhive ดูเหมือนว่าเว็บไซต์ของรัฐบาลบราซิลจะนำออกไปแล้ว แต่ยังคงทำงานและดูได้ในซอร์สโค้ดบนเว็บไซต์ ดำเนินการโดยรัฐบาลอาร์เจนตินา.

เราไม่สามารถยืนยันได้ว่ามีเจตนาร้ายหรือไม่แม้ว่าคุณคิดว่าเว็บไซต์ใด ๆ ที่ทำงานบนเซิร์ฟเวอร์ของรัฐบาลควรได้รับความปลอดภัยอย่างเพียงพอ คุณต้องสงสัยว่ารัฐบาลอาร์เจนติน่ากำลังหากำไรจากการใช้งาน Coinhive หรือไม่.

  • หุ้น Facebook: 10 ถึง 23,424
  • อันดับ Alexa: 949,052 ถึง 889,516

คำตัดสิน: ไม่ทราบ

สถาบันการศึกษา

  • udc.edu.mx
  • lsu.edu.ph
  • uaf.edu.mx
  • florida.edu.vn
  • aplusenglish.edu.vn
  • isquareit.ac.in
  • stieieu.ac.id
  • farzanegan.ac.ir

udc.edu.mx

สถาบันการศึกษาจำนวนมากที่น่าตกใจมีสคริปต์ coinhive อยู่ในเว็บไซต์ของตน อีกครั้งเป็นการยากที่จะระบุว่าเว็บไซต์เหล่านี้กำลังดำเนินการโดยเจตนาหรือไม่ ผู้ใช้ใด ๆ ที่เยี่ยมชมไซต์เหล่านี้ที่ใช้ Malwarebytes Pro จะเห็นการแจ้งเตือนป๊อปอัปที่แสดงว่าสคริปต์ถูกบล็อกดังนั้นคุณคิดว่าตอนนี้จะได้รับการรายงานแล้ว.

  • หุ้น Facebook: 0 ถึง 1,276
  • อันดับ Alexa: ไม่จัดอันดับเป็น 996,287

คำตัดสิน: ไม่ทราบ

โดเมนย่อยของ Github

  • akagi201.github.io

akagi201.github.io

โดเมนย่อย GitHub นี้กำลังเปลี่ยนเส้นทางไปยัง“ โดเมนที่ติดไวรัส” ผู้ใช้ได้ตั้งค่าโดเมนย่อยบน GitHub และแทนที่จะวางโค้ดโดยตรงได้เปลี่ยนเส้นทางไซต์ GitHub ไปยังโดเมนที่พวกเขาควบคุม โดเมนนี้มีรหัส coinhive อยู่.

  • หุ้น Facebook: 0
  • อันดับ Alexa: ไม่จัดอันดับ

VERDICT: เพิ่มโดยผู้ใช้

สรุป

ประเด็นสำคัญบางประการที่ควรหลีกเลี่ยงจากการวิเคราะห์ของเรามีดังนี้:

  • ไซต์ที่น่าเชื่อถือส่วนใหญ่หรือไซต์ที่มีการเข้าชมจำนวนมากซึ่งกำลังเรียกใช้สคริปต์กำลังทำเช่นนั้น, ไม่ว่าจะโดยเจตนาหรือเป็นผลมาจากผู้ใช้เพิ่มสคริปต์ลงในเพจของตน. มีโอกาสที่บางส่วนจะถูกแฮ็ก แต่ ณ จุดนี้ยากที่จะพิสูจน์.
  • ไซต์หลักบางแห่งอาจถูกแฮ็ก
  • ไซต์อื่น ๆ ส่วนใหญ่ที่เรียกใช้สคริปต์มี การจราจรน้อยมาก ที่ การหยุดชะงักสำหรับผู้ใช้อาจไม่สำคัญ.
  • โดเมน โดเมนที่จอดรถอาจใช้ coinhive เพื่อสร้างรายได้. หากจุดยืนของ Google เปลี่ยนไปสู่ ​​Coinhive สิ่งนี้อาจลดคุณค่าของโดเมนในแง่ของการขายในอนาคต.
  • เว็บไซต์สำหรับผู้ใหญ่ ดูเหมือนจะเปิดกว้างสำหรับการใช้สคริปต์.
  • เว็บไซต์ของรัฐบาลและการศึกษากำลังเรียกใช้สคริปต์.
  • โดเมนย่อยบน แพลตฟอร์มบล็อกของ Google กำลังเรียกใช้สคริปต์.
  • ไม่ใช่หลักฐานการแฮ็กจำนวนมาก แม้ว่าหลาย ๆ ไซต์จะถูกแฮ็ก แต่ปัญหาก็ไม่ได้เกิดขึ้นในวงกว้าง.

เมื่อมีตัวเลือกการขุดบนเบราว์เซอร์เพิ่มเติมเราจึงมีแนวโน้มที่จะเห็นเว็บไซต์จำนวนมากขึ้นที่ใช้สคริปต์เพื่อสร้างรายได้จากผู้ใช้ในพื้นหลังและแฮกเกอร์ก็แทรกโค้ดลงในไซต์ที่ถูกบุกรุกมากขึ้น บาง บริษัท เช่น NIMIQ, กำลังพัฒนา cryptocurrencies เฉพาะเบราว์เซอร์.

แฮกเกอร์และผู้ไม่หวังดีมักเลือกใช้รูปแบบรายได้ที่ไม่เปิดเผยตัวมากที่สุดบนไซต์ที่ถูกแฮ็ก นี่อาจเป็นเครือข่ายพันธมิตรที่ไม่ถามคำถามหรือหลบเลี่ยงเครือข่าย SEO ที่จะจ่ายเงินสำหรับลิงก์ย้อนกลับในไซต์ที่ถูกแฮ็ก ความสามารถในการขุดโดยไม่เปิดเผยตัวตนโดยใช้เว็บไซต์ที่ถูกบุกรุกจะเป็นตัวเลือกที่สมเหตุสมผลสำหรับแฮ็กเกอร์ที่กำลังมองหาการชำระเงินที่ไม่สามารถติดตามได้สำหรับการก่ออาชญากรรมและผู้ดูแลเว็บที่ต้องการบีบรายได้ให้มากขึ้นจากไซต์ของตน.

เช่นเดียวกับสกุลเงินดิจิทัลหรืออินเทอร์เน็ตความจริงที่ว่าการขุดบนเบราว์เซอร์สามารถใช้ประโยชน์ได้หรือใช้ในรูปแบบที่น่ากลัว ไม่ได้หมายความว่าไม่ควรมีอยู่จริง. เราควรเปิดใจและอภิปรายอย่างสร้างสรรค์เกี่ยวกับการขุดเบราว์เซอร์ในอนาคต.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map