Firefox插件中也发现有挖矿程序注入

一个叫做Image Previewer的Firefox扩展，它不仅显示弹出窗口，而且还将Monero浏览器中的矿工注入到Firefox中。虽然已经看到大量的Chrome浏览器扩展插件注入浏览器的矿工，但这是我第一次看到Firefox插件的这种行为。

图片预览器插件是由伪装成手动Firefox更新的网站推广的，但实际上是向访问者推送Firefox插件。这是通过重复的Javascript警报和用户身份验证提示，推动用户直接从网站安装插件。

假装更新页面

当安装这个插件时，它会将一个iframe注入到一个Javascript文件中，该文件通过弹出窗口访问您的网站，链接点击劫持和广告注入。这是通过首先连接到http://searchye.tools/cfg/cnt.json来完成的，它将响应一个将被注入页面的URL，如下所示

注入脚本

然后，插件将在iframe中打开https://devappgrant.space/lib/iframe.html?u=6081&t=0.5页面。该页面包含浏览器内部Monero矿工的设置脚本。URL中使用的变量非常重要，它们指定与矿工关联的用户标识和油门，这是矿工线程空闲的时间百分比。这个设置脚本将导致位于https://devappgrant.space/lib/xmr.main.min.js的主要矿工脚本在15分钟内加载。

在浏览器矿工加载程序脚本的一部分

显示Firefox使用44％的CPU

当Firefox启动的时候，这个矿工被注入到浏览器中，要删除插件，请打开Firefox并同时按下Ctrl+Shift+A键或单击Firefox菜单并选择插件以访问已安装的插件/扩展程序列表。

Firefox扩展列表

只需点击 扩展名旁边的删除按钮即可删除插件。

本文参考

9ima.com

Lawrence Abrams

bleepingcomputer