Cryptojacking là gì ?

10/02/2019 09:57

Cryptojacking là một hoạt động độc hại, trong đó một thiết bị bị nhiễm được sử dụng để bí mật khai thác tiền điện tử. Để làm như vậy, kẻ tấn công sử dụng sức mạnh và băng thông xử lý của nạn nhân (trong hầu hết các trường hợp, việc này được thực hiện mà không có nhận thức hoặc sự đồng ý của họ).

Nói chung, phần mềm độc hại mã hóa chịu trách nhiệm cho các hoạt động độc hại đó được thiết kế để sử dụng vừa đủ tài nguyên hệ thống để không bị chú ý càng lâu càng tốt. Vì khai thác tiền điện tử đòi hỏi nhiều sức mạnh xử lý, kẻ tấn công thử và đột nhập vào nhiều thiết bị. Bằng cách này, họ có thể thu thập đủ tài nguyên tính toán để thực hiện hoạt động khai thác có rủi ro thấp và chi phí thấp.

Các phiên bản khai thác phần mềm độc hại trước đó phụ thuộc vào các nạn nhân nhấp vào các liên kết độc hại hoặc tệp đính kèm email, vô tình lây nhiễm vào hệ thống của họ bằng một công cụ khai thác tiền điện tử ẩn.

Tuy nhiên, các loại phần mềm độc hại tinh vi hơn này đã được phát triển trong vài năm qua, đưa phương pháp mã hóa lên một cấp độ hoàn toàn mới. Hiện tại, phần lớn phần mềm độc hại khai thác đang chạy thông qua các tập lệnh được triển khai vào các trang web. Cách tiếp cận này được gọi là cryptojacking trên nền tảng web (web-based cryptojacking).

Web – based cryptojacking

Web-based cryptojacking (hay còn gọi là drive-by cryptomining) là hình thức phần mềm độc hại mã hóa phổ biến nhất. Thông thường, hoạt động độc hại này được thực thi thông qua các tập lệnh đang chạy trong một trang web, cho phép trình duyệt nạn nhân có thể tự động khai thác tiền điện tử trong suốt thời gian truy cập. Các công cụ khai thác dựa trên web như vậy đang được bí mật triển khai trong nhiều trang web khác nhau, bất kể mức độ phổ biến hay danh mục.

Trong hầu hết các trường hợp, Monero là loại tiền điện tử được lựa chọn vì quá trình khai thác của nó không đòi hỏi lượng tài nguyên và sức mạnh xử lý lớn như khai thác Bitcoin. Ngoài ra, Monero cung cấp mức độ riêng tư và ẩn danh tăng lên, khiến các giao dịch khó bị theo dõi hơn nhiều.

Không giống như Ransomware, phần mềm độc hại mã hóa hiếm khi làm tổn hại đến máy tính và dữ liệu được lưu trữ trong đó. Hiệu ứng đáng chú ý nhất của tiền điện tử là hiệu suất CPU giảm (thường đi kèm với sự gia tăng tiếng ồn của quạt).

Tuy nhiên, đối với các doanh nghiệp và các tổ chức lớn hơn, hiệu suất CPU giảm có thể cản trở công việc của họ, có khả năng dẫn đến tổn thất đáng kể và bỏ lỡ các cơ hội.

CoinHive

Cách tiếp cận dựa trên web cho cryptojacking đã được tìm thấy lần đầu tiên vào tháng 9 năm 2017, khi một công cụ khai thác tiền điện tử có tên CoinHive được phát hành chính thức ra công chúng.

CoinHive bao gồm một công cụ khai thác tiền điện tử JavaScript được cho là được tạo ra để phục vụ mục đích cao cả: cho phép chủ sở hữu trang web kiếm tiền từ nội dung có sẵn miễn phí của họ mà không cần dựa vào quảng cáo.

CoinHive tương thích với tất cả các trình duyệt chính và tương đối dễ triển khai. Những người tạo giữ 30% tất cả các loại tiền điện tử được khai thác thông qua mã của họ. Nó sử dụng các khóa mật mã để xác định tài khoản người dùng nào sẽ nhận được 70% khác.

Mặc dù ban đầu được trình bày như một công cụ thú vị, CoinHive đã nhận được rất nhiều lời chỉ trích do thực tế là nó hiện đang bị tội phạm mạng sử dụng để tiêm mã độc vào một số trang web bị tấn công (mà không có sự hiểu biết hoặc cho phép của chủ sở hữu).

Trong một số trường hợp CoinHive được triển khai có chủ đích, JavaScript mã hóa được cấu hình phiên bản Opt-In có tên AuthedMine, đây là phiên bản sửa đổi của CoinHive, chỉ bắt đầu khai thác sau khi nhận được sự đồng ý của khách truy cập.

Không có gì đáng ngạc nhiên, AuthedMine không được chấp nhận ở cùng quy mô như CoinHive. Một tìm kiếm nhanh trên PublicWWW cho thấy ít nhất 14.900 trang web đang chạy CoinHive (trong đó 5.700 là các trang web WordPress). Mặt khác, AuthedMine được triển khai khoảng 1.250 trang.

Trong nửa đầu năm 2019, CoinHive trở thành mối đe dọa phần mềm độc hại hàng đầu được theo dõi bởi các chương trình chống vi-rút và các công ty an ninh mạng. Tuy nhiên, các báo cáo gần đây chỉ ra rằng cryptojacking không còn là mối đe dọa phổ biến nhất vì các vị trí thứ nhất và thứ hai hiện đang được thực hiện bởi các cuộc tấn công của Trojan Trojans và Ransomware.

Sự tăng giảm nhanh chóng của cryptojacking có thể liên quan đến công việc của các công ty an ninh mạng, vì nhiều mã mã hóa hiện đang nằm trong danh sách đen và được phát hiện nhanh chóng bởi hầu hết các phần mềm chống vi-rút. Hơn nữa, các phân tích gần đây cho thấy rằng cryptojacking dựa trên web không mang lại lợi nhuận cao như nó có vẻ.

Các vụ tấn công cryptojacking điển hình

Vào tháng 12 năm 2017, mã CoinHive đã âm thầm được triển khai vào mạng WiFi của nhiều cửa hàng Starbucks ở Buenos Aires, theo báo cáo của một khách hàng. Kịch bản khai thác Monero thông qua khả năng xử lý của bất kỳ thiết bị nào được kết nối với nó.

Đầu năm 2018, công cụ khai thác CoinHive đã được tìm thấy đang chạy trên Quảng cáo YouTube thông qua nền tảng DoubleClick của Google.

Trong tháng 7 và tháng 8 năm 2018, một cuộc tấn công cryptojacking đã lây nhiễm hơn 200.000 bộ định tuyến MikroTik ở Brazil, tiêm mã CoinHive vào một lượng lớn lưu lượng truy cập web.

Làm thế nào để phát hiện và ngăn chặn các cuộc tấn công cryptojacking

Nếu bạn nghi ngờ rằng CPU của bạn đang được sử dụng nhiều hơn bình thường và quạt làm mát của nó đang phát ra tiếng ồn mà không có lý do rõ ràng, rất có thể thiết bị của bạn đang được sử dụng để đào tiền mã hóa. Điều quan trọng là tìm hiểu xem máy tính của bạn có bị nhiễm hoặc nếu việc mã hóa đang được trình duyệt của bạn thực hiện.

Mặc dù cryptojacking dựa trên web tương đối dễ dàng để phát hiện và dừng, phần mềm độc hại khai thác nhắm vào các hệ thống và mạng máy tính không phải lúc nào cũng dễ dàng phát hiện, vì chúng thường được thiết kế để ẩn hoặc che giấu như một thứ hợp pháp.

Có các phần mở rộng trình duyệt có thể ngăn chặn hiệu quả hầu hết các cuộc tấn công cryptojacking dựa trên web. Bên cạnh việc bị giới hạn đối với các công cụ khai thác dựa trên web, các biện pháp đối phó này thường dựa trên danh sách đen tĩnh, có thể nhanh chóng trở nên lỗi thời khi các phương pháp tiếp cận cryptojacking mới được triển khai. Do đó, bạn cũng nên cập nhật hệ điều hành của mình cùng với phần mềm chống vi-rút được cập nhật.

Khi nói đến các doanh nghiệp và các tổ chức lớn hơn, điều quan trọng là phải thông báo và giáo dục cho nhân viên về các kỹ thuật mã hóa và lừa đảo, chẳng hạn như email lừa đảo và các trang web giả mạo.