Thế giới công nghệ đâu đó vẫn còn tồn tại nhiều mối hiểm họa từ những tin tặc, nhằm đánh cắp thông tin, tài sản của người tiêu dùng. Hôm nay, chúng tôi sẽ giới thiệu đến các bạn mã độc Coinhive, đây mà một loại mã độc nhằm khai thác tiền điện tử của những người tham gia. Cùng đến với bài viết để hiểu rõ hơn về nguồn gốc, dấu hiệu cũng như một số biện pháp khắc phục.
1. Mã độc Coinhive là gì?
Khái niệm
Mã độc Coinhive là một dịch vụ khai thác tiền điện tử. Mã dùng khả năng tính toán của bất kỳ trình duyệt nào truy cập trang web được đề cập, sử dụng máy để khai thác tiền điện tử. Nhưng về sau Coinhive lại trở thành mã độc đe dọa nhất với người dùng.
Thực chất mà nói Coinhive không phải là một mã độc hại, tuy nhiên một điều không ngờ tới với mã này chính là: các tin tặc đã sử dụng nó một cách rộng rãi để khai thác tiền bằng các trang web bị tấn công. Do đó, nhiều máy quét phần mềm độc hại và cơ quan bảo mật đã đưa Coinhive vào danh sách đen.
Nguồn gốc
Mã Coinhive được phát hành vào mùa hè năm 2017, quảng cáo nó như một phương pháp giúp người nắm giữ trang web có lợi nhuận mà không cần chạy các quảng cáo gây nhiễu. Tuy nhiên, chính vì vậy mà mã của Coinhive đã trở thành mối hiểm họa, trở thành phần mềm độc hại hàng đầu được nhiều công ty bảo mật theo dõi. Đó là vì phần lớn thời gian mã được cài đặt trên các trang Web bị tấn công – mà người nắm giữ không biết hoặc không được phép. Mã độc Coinhive thường khóa trình duyệt của người dùng và tiêu hao pin của thiết bị khi nó tiếp tục khai thác Monero, DashCoin hay DarkNet Coin trong thời gian khách truy cập duyệt trang web.
Theo publicwww.com, có gần 32.000 trang Web hiện đang chạy mã khai thác JavaScript của Coinhive. Trong một vài tháng sau khi phát hành, tin tặc đã bí mật ghép nó vào một số trang web cực kỳ nổi tiếng. Đầu năm 2018, Coinhive bị phát hiện ẩn bên trong các quảng cáo trên YouTube (thông qua nền tảng DoubleClick của Google) ở một số quốc gia Nhật Bản, Pháp, Đài Loan, Ý và Tây Ban Nha.
Coinhive chấp nhận các khiếu nại về lạm dụng, nhưng thường từ chối phản hồi bất kỳ khiếu nại nào không đến từ chủ sở hữu của trang Web bị tấn công (hầu như bỏ qua các khiếu nại về lạm dụng do các bên thứ ba gửi). Hơn nữa, khi Coinhive phản hồi các khiếu nại về lạm dụng, Coinhive sẽ làm mất hiệu lực của khóa liên quan đến hành vi lạm dụng.
Nguyên nhân
Có hai nguyên nhân chính đã vô tình đưa mã độc vào máy tính hay thiết bị mà đang sử dụng, vô tình đưa chúng vào khai thác tiền điện tử của bạn.
Thứ nhất: Download những chương trình mở rộng trên Chrome có chứa mã độc Coinhive mà bạn không hề hay biết. Hoặc bạn đăng nhập vào những trình duyệt có chứa mã độc cũng là nguyên nhân gây nên hiện tượng này.
Thứ hai: Vô tình truy cập trang web có chứa mã độc. Điều đó đã vô tình làm xảy ra việc khai thác tiền mã hóa của bạn cho người sở hữu trang Web đó.
2. Cách thức hoạt động của mã độc Coinhive
Cách thức hoạt động bên trong của Coinhive không phải ai cũng biết,chỉ có những chuyên gia công nghệ thì việc hiểu biết về mã độc này sẽ dễ dàng hơn. Vì thế chúng tôi sẽ miêu tả một cách tổng quan nhất về cách thức hoạt động của mã độc Coinhive là gì.
Những người viết code cho một website sẽ là những người đưa mã vào chính Website mà họ tạo. Và thông thường những website này tràn lan trên các trang mạng như Chrome. Khi bạn down về và cài đặt, nó sẽ hiển thị một số yêu cầu ví dụ như sử dụng một phần CPU, mà đa số chúng ta thường không biết mục đích và có thói quen đồng ý hết mà không biết nó là gì. Chính điều đó đã vô tình đưa mã độc vào máy của mình.
Khi mã độc Coinhive đã xâm nhập vào trình duyệt, máy tính của bạn chúng sẽ tiến hành khai thác. Và hai phần nó sử dụng cho mục đích khai thác âm thầm đó chính là Card đồ họa (VGA) và CPU. Chính vì thế khi bị xâm nhập máy của bạn sẽ trở nên chậm hơn.
3. Dấu hiệu nhận biết dính mã độc Coinhive là gì?
Một số dấu hiệu
Bạn có thể vô tình rước mã độc vào máy tính của mình. Tuy nhiên, sẽ có một số dấu hiệu bạn có thể nhận biết được sự xâm nhập, để ngăn chặn sự đánh cắp một cách kịp thời. Sau đây là một số dấu hiệu nhận biết:
- Thứ nhất: Thông báo từ CPU và Card đồ họa. Khi bạn chỉ truy cập vào một trang Web và không thực hiện bất kì những hoạt động, thao tác nào dẫn đến nặng máy. Nhưng CPU, VGA lại thông báo đang hoạt động với công suất cao, gần như tối đa.
- Thứ hai: Tiếng quạt kêu to. Việc tiếng quạt gió ở một số máy có dấu hiệu bất thường như quạt nhanh và tạo tiếng, chính là dấu hiệu báo rằng công suất hoạt động đang rất cao.
- Thứ ba: Máy tính chạy rất chậm không thể chạy nổi nhiều tab, bộ nhớ luôn trong trạng thái đầy và không thể tải bất kì thứ gì về được nữa
- Thứ tư: Việc khởi động máy cũng như tắt máy tốn rất nhiều thời gian.
- Thứ năm: Bạn quan sát công suất hoạt động khi bạn truy cập các trang web xem ở mốc bao nhiêu, công suất hoạt động của CPU càng cao thì nguy cơ nhiễm càng cao.
- Thứ sáu: Tên miền của Website bạn truy cập có đuôi của coinhive, ví dụ như: coinhive.come, … hay đuôi authedmine.com.
Bên trên là một số dấu hiệu, khi bạn thấy máy của mình hoạt động quá chậm ngay cả khởi động, lẫn truy cập hay làm bất cứ thao tác nào. Thì bạn cần kiểm tra một cách kĩ càng xem máy mình hiện có đang bị nhiễm mã độc Coinhive không. Để kịp thời cứu chữa.
Các bước nhận mã độc xâm nhập
Nếu bạn phát hiện thấy trang web của mình đang chạy các tập lệnh khai thác tiền điện tử mà bạn không biết, thì rất có thể trang web của bạn đã bị tấn công hoặc đã bị nhiễm virus. Dưới đây là một số bước bạn có thể thực hiện để xác định xem trang web của mình có bị tấn công hay không:
- Mở trang web trong trình duyệt web của bạn và chọn “View source”
- Trong nguồn trang web, hãy quét mã JavaScript. Tên của các tập lệnh JavaScript có sự xâm nhập của mã độc Coinhive, sẽ được cố ý đặt tên theo tên tệp phổ biến để chúng có vẻ hợp pháp và quản trị viên web không nghi ngờ khi nhìn thấy chúng.
- Các miền nằm trong một số danh sách đã được liệt kê ví dụ: ads.locationforexpert[.]com, aleinvest[.]xyz/js/theme.js, ….
- Tên miền/tệp không được công nhận
- Tập lệnh khởi tạo cho Coinhive
4. Biện pháp khắc phục mã độc Coinhive xâm nhập
- Thực hiện giám sát các tệp: Sử dụng các công cụ để thường xuyên theo dõi các tệp trên máy chủ và xem chúng đã thay đổi khi nào. Tin tặc có xu hướng sửa đổi các tệp trên máy chủ và thêm phần mềm độc hại và vi rút vào các tệp chính của trang web của bạn. Mã như vậy có thể được thực thi phía máy chủ, tức là bằng PHP, Python,… hoặc thậm chí trên trình duyệt của khách hàng, tức là bằng JavaScript.
- Chỉ bao gồm các tệp JavaScript từ các nguồn đáng tin cậy và CDN: Hãy cẩn thận trước khi bạn đưa các tệp JS vào trang web của mình.
- Tạo Chính sách Bảo mật Nội dung (CSP): Đây là một tiêu chuẩn bảo mật máy tính để ngăn chặn các cuộc tấn công chèn mã độc Coinhive như tạo kịch bản trang chéo (XSS), clickjacking,…. cho phép thực thi nội dung độc hại trong trang web đáng tin cậy trên trình duyệt khách. Đọc hướng dẫn này của Google về các nguyên tắc cơ bản của CSP và cách bạn có thể thiết lập một CSP.
- Thường xuyên cập nhật CMS của bạn: Các patches/cập nhật bảo mật thường được phát hành cùng với các phiên bản CMS mới hơn. Bạn nên thường xuyên quét các phiên bản mới và nâng cấp.
- Cài đặt tất cả các patches security do các nhà cung cấp phát hành: Hầu hết tất cả các CMS đều phát hành các patches security khi các vấn đề nghiêm trọng được báo cáo. Đăng ký danh sách gửi thư bảo mật/nguồn cấp RSS của họ và cập nhật phần mềm của bạn.
- Kiểm tra công suất máy, CPU, VGA, quan sát tốc độ hoạt động của máy.
Với những thông tin mà chúng tôi cung cung cấp về nguồn gốc, dấu hiệu, biện pháp ở trên về mã độc Coinhive. Mong rằng bạn sẽ có cái nhìn rõ nét hơn về nó, không chỉ để hiểu biết thêm kiến thức. Mà còn giúp bạn có thể kịp thời phát hiện, tìm cách khắc phục nếu đối diện trước tình trạng này. Chúc bạn may mắn.