Cryptojacking脚本可以在Word文档中工作 2018-10-10 01:15:01

$888.88
所属分类 :经济

安全研究人员发现,使用来自受害者机器的资源来挖掘加密货币的加密劫持脚本可以在Microsoft Word文件中运行,从而为攻击开辟了新的可能性

以色列安全公司Votiro首先强调的潜在攻击是由于新版Microsoft Word中的功能允许用户在互联网内嵌入视频而无需上传视频本身

该功能是为了方便而引入的;用户可以在Word文档中插入视频的链接,并且将显示视频播放器,允许观看者观看视频而无需离开文档本身

虽然该功能可能对合法用途有用,但恶意行为者也找到了一种方法来操纵Word视频播放器来运行加密货币脚本,这些脚本将在没有受害者知情或许可的情况下挖掘像Monero这样的加密货币

攻击是可能的,因为Word不限制视频嵌入代码的来源

没有白名单设置来确保代码来自合法来源,因此攻击者可以滥用缺乏保护来嵌入来自恶意来源的代码

视频播放器实际上是Internet Explorer浏览器窗口这一事实也使攻击成为可能

为了利用可利用的安全漏洞,攻击者只需在他们拥有的域上托管视频,并在视频中加载浏览器内加密货币挖掘器的脚本

当用户打开带有视频的Word文件并点击播放按钮时,密码系统开始工作,使用受害者的机器挖掘加密货币

网页上的脚本使用受害者机器的处理能力 - 无论是CPU还是图形处理单元(GPU)来生成加密货币

加密货币的挖掘任务涉及解决复杂的数学问题以确认和处理交易,反过来又为那些帮助解决计算密集型方程式的人释放了额外的货币

在这次特殊的攻击中,威胁行为者会使用受害者的机器来挖掘Monero,这是一种日益流行的加密货币,由于其完全匿名的交易而被吹捧

它已成为隐私和犯罪分子执行加密抢劫诈骗的最爱

虽然攻击是可能的,但它也不会特别有利可图

安全研究人员说,通过Word文档进行的攻击不太可能产生相当大的数量攻击者的收入

在网络上托管加密脚本会更有效每当一个人访问该网站时,我就会进行迭代

在一些受欢迎且交通畅通的网站上出现了加密抢劫事件

Politifact.com是一个获得普利策奖的事实检查网站,在不知道网站运营商的情况下主持了一个加密的脚本,美国和英国的一些政府运营的网站也是如此

电视网Showtime和热门的洪流网站Pirate Bay的网站也安装了加密代码,但尽管没有通知其用户,故意这样做

在这些情况下,网站运营商在他们不知情的情况下直接从访问者那里获利