Nội dung
Việc lợi dụng khai thác tiền ảo lén lút của mã độc đào tiền ảo trên website là một vấn đề khi gây ảnh hưởng tới chi phí quản trị hệ thống, chủ sở hữu trang web và khách truy cập của họ.
Lừa đảo khách truy cập
Kỹ thuật mới này cho phép các mã độc đào tiền ảo trên website có thể ẩn náu, ngụy trang thông qua các trình rút gọn URL. Sự khác biệt lần này là không chuyển hướng khách truy cập đến trang web bị nhiễm hoặc trang web lừa đảo mà thay vào đó, các trình rút gọn URL được xây dựng bởi Coinhive với mục đích khai thác tiền ảo thông qua CPU của khách truy cập trang web, bất cứ khi nào trình duyệt của họ tải URL này.
Về lý thuyết, điều này có thể được sử dụng bởi một trang web như một cách mới để kiếm tiền từ lưu lượng khách truy cập trang web, ngoài việc quảng cáo hoặc yêu cầu khác như trả phí để trở thành thành viên.
Lạm dụng dịch vụ rút ngắn URL
Dịch vụ rút ngắn URL cũng đang bị lạm dụng, như được hiển thị bởi mẫu obfuscation mới phía dưới mà chúng tôi đã gặp phải trong tệp chủ đề của khách hàng:
Sẽ dễ dàng để đọc hơn khi bạn đã chuyển đổi chuỗi thập lục phân trong hàm unescape của JavaScript:
Như bạn có thể thấy, trình rút ngắn URL được tải thông qua một iFrame được cố tình đặt thành kích thước 1 × 1, do đó việc chú ý trực quan trên trang web sẽ khá khó khăn. Hơn nữa, việc sử dụng URL rút gọn cnhv[.]co trong iFrame cho phép nó được tự động tải cùng với phần còn lại của trang web thay vì yêu cầu khách truy cập thực hiện hành động như nhấp vào liên kết URL, đó là mục đích sử dụng dự kiến của dịch vụ.
Một vấn đề khác với trình rút gọn URL là nó cho phép người điều chỉnh số lượng hàm hash cần thiết để thiết bị của khách truy cập hoàn thành. Điều này ảnh hưởng trực tiếp đến thời gian thiết bị của bạn chạy cryptomining hash bằng cách sử dụng CPU.
Khai thác chỉ bắt đầu sau khi tải một URL rút gọn cnhv[.]co, vì nó lấy cùng một mã JavaScript nhỏ hơn mà chúng tôi đã ghi lại trong các bài đăng trước đó:
Kịch bản lệnh nhỏ hơn không được tải trực tiếp từ trang web của bạn mà thay vào đó là thông qua trang web của cnhv [.]co. Nó cho biết thêm những gì có thể được xem như là một lớp không rõ ràng và do đó tránh được sự phát hiện vì một số công ty bảo mật thông tin/chống vi-rút không có liệt kê những gì là đáng ngờ, mặc dù nhiều người sẽ phát hiện nó khi kịch bản chính coinhive[.]min[.]js được tải.
Sử dụng 100% CPU của thiết bị
Dưới đây là giao diện khi truy cập vào các website bị nhúng mã độc (FireFox) để tải tệp HTML mà không chặn JavaScript:
Nếu bạn nhìn kỹ, bạn có thể thấy pixel iFrame được căn chỉnh về phía xa bên trái với kích thước 1 × 1. Kích thước này ngăn cản bất kỳ loại thanh tiến trình nào được hiển thị trên các ví dụ được liệt kê trên trang web của Coinhive và có vẻ được thực hiện rõ ràng để né tránh sự phát hiện của khách truy cập.
Bạn cũng có thể thấy rằng hai CPU của thiết bị được tối đa hóa ở mức 100% và sử dụng bởi tiến trình FireFox để thực thi cryptominer JavaScript. Giới hạn hash được thiết lập quá cao (cao hơn 3,625 lần so với mặc định được sử dụng trên trang web của Coinhive) mà hầu như không có quá trình đáng chú ý nào được thực hiện sau khi chạy ở mực 100% trong hơn 10 phút, nhưng chắc chắn có sự gia tăng nhiệt độ đáng chú ý ở CPU mà có thể gây ra thiệt hại vĩnh viễn trên một số thiết bị không có các hạn chế điều chỉnh nhiệt thích hợp (ví dụ như thiết bị cũ hơn, một số overclocked, vv).
Mã độc đào tiền ảo trên website ẩn náu thông qua URL gọn
Cuối cùng, có một vấn đề từ làm cho các công cụ rút ngắn URL bị hạn chế sử dụng, bởi nhiều đối tượng sử dụng các công cụ này để che giấu các URL độc hại (lừa đảo, tải xuống v.v …).
Có một số dịch vụ trực tuyến hữu ích có thể làm giảm bớt vấn đề này bằng cách hiển thị cho bạn URL gốc đã được rút ngắn và đôi khi có thể xác định các chuyển hướng độc hại. Thật không may, các dịch vụ không có với URL rút gọn cnhv[.]co, vì vậy bạn không thể biết được URL sẽ chuyển hướng đến đâu sau khi hash khai thác. Bạn có thể vô tình khai thác tiền ảo trên các trang web với một cnhv[.]co iFrame ịnection và sau khi khai thác xong, được chuyển hướng qua một URL rút gọn đến một trang web bị xâm phạm khác chứa các phần mềm độc hại khác.
Kết luận
Hơn 100 trang web hiện đang được lập chỉ mục có chứa cùng một URL rút gọn cnhv[.]co trong định dạng Hex URL. Ngoài ra, nhiều website đang cố ý sử dụng iFrame để kiếm tiền ảo từ khách truy cập.