超过500个网站被嵌挖矿脚本包括微软旗下MSN门户网站

趋势科技在本周三发文称，他们在3月25日检测到加密货币矿工的数量突然激增（与3月24日相比，增长了108%）。在对矿工流量的追踪后，他们发现其中大部分与MSN日本综合门户有关。进一步分析表明，攻击者已经在该网站上显示的AOL广告平台上修改了脚本，以启动一个矿工程序。 趋势科技随即向AOL团队就此发现就行了通报，而AOL团队随后便对注入的挖矿脚本进行了删除，并在3月27日彻底解决了这个问题。

]如上所述，趋势科技发现AOL广告平台advertising.aolp.jp被注入了一个加密货币挖矿脚本（由趋势科技检测为COINMINER_COINHIVE.E-JS），显示在网站（包括微软的MSN门户网站，通常是微软IE浏览器的默认主页）中的广告创造了大量的矿工。 进一步的分析显示，同一活动影响了500多个网站。这些网站都链接到了同一个下载页面，其中包含了上述提到的挖矿脚本。 趋势科技表示，如果用户访问这些网站，并且显示了受感染的广告，他们的浏览器将运行这个挖矿脚本。而这并不需要用户点击广告即可运行，挖矿脚本会在网页关闭时停止。 挖矿脚本的代码基于Coinhive，使用了一个私人采矿池。通常来讲，这是为了避免由于采用公共采矿池而带来的手续费。 趋势科技在对受感染网站检查后发现，大部分恶意内容都托管在Amazon Web Service（AWS）S3存储桶中。而这些S3存储桶并没有得到安全保护，普遍都存在配置错误问题，使得攻击者能够任意修改其托管的内容。在这起活动中，攻击者在不安全的S3存储桶上的JavaScript库末尾嵌入了恶意代码。 在此次事件中，虽然已经有一些网站对S3存储桶的权限进行了修改，但这些网站管理员似乎仍没有注意到被添加的恶意代码。 趋势科技表示，不安全的Amazon S3存储桶自2017年以来一直都是一个问题，在今年已有几个加密货币挖掘计划都涉及到使用它们。值得注意的是，导致这种不安全状态出现的最根本原因并非来源于外部攻击，而是来自于“人”。想要避免自己成为此类网络攻击的受害者，各位网站管理员有必要对S3存储桶采取更细致、更全面的保护措施。 来源：黑客视界