Cảnh báo các mã khai thác tiền ảo lợi dụng trình duyệt người dùng

Thảo luận trong 'Cảnh báo an ninh mạng' bắt đầu bởi krone, 26/10/17, 02:10 PM.

  1. krone

    krone Moderator Thành viên BQT

    Tham gia: 26/07/16, 03:07 PM
    Bài viết: 193
    Đã được thích: 108
    Điểm thành tích:
    43
    “Vào thời điểm hiện tại, Cryptocurrencies là tất cả “. Bitcoin, altcoins, blockchain, ICO, trang trại khai thác, tỷ giá hối đoái tăng vọt - bạn nghe thấy điều này trong các tin tức mỗi ngày. Tất cả tạo thành một hiệu ứng đám đông. Mọi người cố gắng nhảy vào xu hướng này một cách điên cuồng, từ những nhà đầu tư cho đến những hacker...

    Xu thế đó dẫn tới một hệ quả đó là sự xuất hiện và nổi lên của các nền tảng trực tuyến dựa trên nền tảng web, cho phép những người quản trị web có thể cài đặt các công cụ đào tiền ảo vào trang web của họ như một phương tiện kiếm tiền.

    Một số platform đáng chú ý cung cấp một số mã javascript cho các trang web đó là JSE Coinhive.

    Một điều moi người đều biết đó là các chương trình viết để khai thác GPU (Graphics Processing Unit) trong card màn hình máy tính đòi hỏi các công cụ đặc biệt phức tạp. Tại một cuộc thi Hackathon, một số lập trình viên đã tung ra một thư viện javascript cho phép bạn tạo ra các “kernel” function để thực thi trên GPU của hệ thống.

    Tuy nhiên thời điểm gần đây, các mã javascript đã được thay đổi, các mã đó hoạt động trên nền của trình duyệt của client truy cập đến server, thực hiện việc khai thác coin bằng cách tận dụng CPU dư thừa của máy tính. Và đây là những gì sẽ xảy ra với máy tính của bạn khi truy cập trang web có JSE và Coinhive.

    upload_2017-10-26_14-39-24.png
    Trước đây, trang web PirateBay chuyên cung cấp các bản Torrent cũng đã có trường hợp như vậy.

    upload_2017-10-26_14-40-8.png

    Những điều trên dẫn đến việc một số mã javascript được chèn vào trang web do các hacker tấn công vào web server và để lại mã, thực thi đào coin và chuyển về cho hacker.

    Malicious Injection với CoinHive.

    Một số quản trị viên đã phát hiện ra việc các processing hoạt động ở mức cao hơn cho phép. Một số còn phát hiện thấy các mã của CoinHive trong trang web của họ.

    upload_2017-10-26_14-40-20.png
    upload_2017-10-26_14-40-29.png

    Coinhive trên trang security.fblaster[.]com

    Có thể đây không phải là cách sử dụng CoinHive đúng đắn bởi nó sử dụng một đường link dẫn từ script của trang CoinHive về.

    Một điều mọi người tưởng chừng như tệ hại nhất đó là những hacker chỉ việc tiêm các mã javascript này chứa thêm các mã khóa trong mã của của coinhive thì vừa mới hôm qua đã có thêm một tin tức được thông báo. “CoinHive đã bị hack!”

    Vậy điều gì đã xảy ra?

    Một hacker nào đó đã chiếm quyền kiểm soát tài khoản CloudFlare của Coinhive cho phép hacker này sửa đổi các bản ghi của máy chủ DNS và thay thế mã javascript chính thức của CoinHive được nhúng vào hàng ngàn Website có chứa phiên bản mã độc.

    Có một điều thức sự bất ngờ đó là hacker đã sử dụng lại một mật khẩu cũ để truy cập tài khoản CloudFlare của CoinHIve đã bị rò rỉ trong vụ vi phạm dữ liệu trên Kickstarter vào năm 2014.

    Theo các báo cáo, vào đêm 23 tháng 10, các bản ghi DNS đã bị thay đổi để chuyển hướng các request của url “coinhive.min.js” tới máy chủ bên thứ ba. Máy chủ bên thứ ba này lưu trữ một phiên bản sửa đổi của tệp Javascript với web key được mã hóa. Kết quả là hàng ngàn website với việc sử dụng script từ CoinHive đã bị lừa.

    Các trình duyệt website của bạn có thể khai thác bí mật các mã Cryptocurrencies cho các hacker.

    upload_2017-10-26_14-41-3.png

    “Sáng tạo nhưng lại bị lạm dụng!”

    Làm thế nào để tránh được các trang web sử dụng mã Javascript để đào coin.?

    Do những quan ngại đã được đề cập, một số sản phẩm antivirus, bao gồm cả MalwareBytes và Kaspersky cũng đã bắt đầu chặn script CoinHive và các mã javascript khác liên quan đến sử dụng process của CPU bất hợp pháp nhằm ngăn chặn việc bị quá tải trên hệ thống.

    Bạn có thể cài đặt NoCoin hoặc minerBlock, một plugins nhỏ để chặn coin miner cũng như CoinHive.

    Kết luận

    Nếu thứ gì có thể cài đặt lên web và kiếm tiền (ads, miner coin,….), hacker sẽ thực hiện nó trên các trang web mà họ đã hack được. Vì vậy, cách tốt nhất để để các quản trị web cần làm là “giám sát toàn vẹn” các trang web. Sucuri cũng đã cung cấp một dịch vụ liên quan đến vấn đề này, đường link dưới đây các bạn có thể tham khảo:

    https://sucuri.net/website-security-platform/malware-scanning-and-detection

    Chung quy lại, điều này cũng phụ thuộc vào trách nhiệm của các quản trị web. Nếu thực sự họ muốn làm điều xấu đối với các client thì chính họ cũng có thể chèn các mã này vào trang web của mình để trục lợi bởi tiền ảo đã, đang và vẫn sẽ là cơn sốt trên toàn thế giới. Người sử dụng hay truy cập đến các trang web cũng nên tự tìm cách bảo vệ mình trong thế giới đầy rẫy những hiểm họa này!.

    Bài viết có tham khảo một số nguồn dẫn trên mạng bao gồm: Thehackernews, SucuriBlog, cùng các nguồn dẫn khác.
     
    Last edited by a moderator: 30/10/17, 01:10 PM
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. summerlove

    summerlove Member

    Tham gia: 10/04/17, 04:04 PM
    Bài viết: 13
    Đã được thích: 6
    Điểm thành tích:
    3
    Mình nghĩ với những người không rành công nghệ có thể sử dụng các tiện ích mở rộng chặn Javascript như NoScript (dành cho Firefox) và ScriptSafe (dành cho Chrome). Hoặc thủ công hơn là bổ sung các trang web nghi vấn đào tiền ảo vào danh sách chặn tên miền trong tiện ích chặn quảng cáo (theo tư liệu mà mình đọc được).
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. narutotoma

    narutotoma Member

    Tham gia: 11/04/17, 10:04 AM
    Bài viết: 14
    Đã được thích: 2
    Điểm thành tích:
    3
    Cảm ơn Mod. Nhưng ngoài CPU thì cho mình hỏi ngu tý là điện thoại người dùng vẫn bị khai thác tài nguyên đúng không ạ?
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  4. DDos

    DDos Super Moderator Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 1,395
    Đã được thích: 219
    Điểm thành tích:
    63
    Điện thoại vẫn dùng để đào bitcoin bạn nhé. Trên xda có một topic chia sẻ cách này... :D
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. Formular 1

    Formular 1 Member

    Tham gia: 10/04/17, 04:04 PM
    Bài viết: 9
    Đã được thích: 3
    Điểm thành tích:
    3
    Nếu đã cài đặt phần mềm diệt virus rồi thì có cần cài thêm NoCoin hoặc minerBlock trên máy ko bạn?
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  6. krone

    krone Moderator Thành viên BQT

    Tham gia: 26/07/16, 03:07 PM
    Bài viết: 193
    Đã được thích: 108
    Điểm thành tích:
    43
    Theo mình thì chỉ nên cài 1 trong 2 thôi. Sẽ tránh được phiền phức khi khởi động trình duyệt và truy cập web.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. D4rkc0d3

    D4rkc0d3 W-------

    Tham gia: 07/10/15, 12:10 AM
    Bài viết: 51
    Đã được thích: 27
    Điểm thành tích:
    28
    Cài mỗi cái NoScript :))
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    sunny thích bài này.