Cryptojacking, còn được gọi là tấn công khai thác, là việc sử dụng trái phép máy tính của người khác để khai thác tiền điện tử.

Thông thường, tin tặc tải mã khai thác tiền điện tử vào máy tính bằng cách yêu cầu nạn nhân nhấp vào các liên kết độc hại trong email; hoặc lây nhiễm các trang web hoặc quảng cáo trực tuyến bằng mã JavaScript tự động thực thi khi được tải trong trình duyệt của nạn nhân.

Dù bằng cách nào, mã khai thác sẽ chạy trong nền trong khi nạn nhân không nghi ngờ có thể sử dụng máy tính bình thường. Dấu hiệu duy nhất mà họ có thể nhận thấy là hiệu suất máy tính chậm hoặc chậm trễ khi thực thi.

Không ai biết tin tặc đã khai thác bao nhiêu tiền điện tử thông qua cryptojacking, nhưng không nghi ngờ gì nữa, hoạt động này đang gia tăng.

Cryptojacking dựa trên trình duyệt đang phát triển nhanh chóng.Vào tháng 11 năm ngoái, theoBáo cáo Adguard, cryptojacking trong trình duyệt đã tăng 31%. Nghiên cứu của Adguard cho thấy có tổng cộng 33.000 trang web chạy các tập lệnh tấn công khai thác và số lượt truy cập hàng tháng vào các trang web này ước tính lên tới 1 tỷ. Vào tháng Hai năm nay,Bad Packets Report34.474 trang web chạy Coinhive đã được tìm thấy. Coinhive là chương trình khai thác JavaScript phổ biến nhất và cũng được sử dụng cho các hoạt động khai thác tiền điện tử hợp pháp.

Marc Laliberte, nhà phân tích tình báo mối đe dọa tại nhà cung cấp giải pháp an ninh mạng WatchGuard Technologies, cho biết: “Khai thác tiền điện tử đang ở giai đoạn sơ khai và vẫn còn rất nhiều chỗ để phát triển và phát triển. trị giá 300.000 đô la Mỹ trong một tháng.

"Kể từ đó, Coinhive đã phát triển rất nhanh. Kiếm tiền theo cách này thực sự rất dễ dàng."

Vào tháng 1, các nhà nghiên cứu đã phát hiện raSmominruBotnet khai thác tiền điện tử, con sâu đã lây nhiễm hơn 500.000 máy, chủ yếu ở Nga, Ấn Độ và Đài Loan. Mục tiêu của botnet là khiến các máy chủ Windows khai thác Monero. Công ty an ninh mạng Proofpoint ước tính nó đã tạo ra 3,6 triệu đô la giá trị tính đến cuối tháng 1.

Cryptojacking thậm chí không yêu cầu năng lực kỹ thuật đáng kể.Theo báo cáo của Digital Shadows "Cơn sốt vàng mới: Tiền điện tử trở thành biên giới mới cho gian lận", bộ công cụ tấn công khai thác chỉ được bán với giá 30 đô la trên web tối.

Một lý do khiến cryptojacking ngày càng trở nên phổ biến với tin tặc là nó trả nhiều tiền hơn với ít rủi ro hơn.Ngoài ra,

Ngoài ra,Cryptojacking cũng ít rủi ro bị phát hiện và xác định hơn nhiều so với ransomware.Mã khai thác sẽ chạy âm thầm và có thể không bị phát hiện trong một thời gian dài, thậm chí nếu bị phát hiện cũng khó truy ngược nguồn gốc. Bởi vì không có gì bị đánh cắp hoặc mã hóa nên nạn nhân có rất ít động lực để truy tìm lại.Tin tặc có xu hướng chọn các loại tiền điện tử ẩn danh như Monero và Zcash, chứ không phải là Bitcoin, vì rất khó để lần ra các hoạt động bất hợp pháp đằng sau những đồng tiền này.

Có hai cách chính mà tin tặc có thể sử dụng máy tính của nạn nhân để âm thầm khai thác tiền điện tử.

Một phương pháp là lừa nạn nhân tải mã khai thác vào máy tính của họ.Việc chiếm quyền điều khiển được thực hiện thông qua một phương pháp giống như lừa đảo: Nạn nhân nhận được một email có vẻ hợp pháp, dụ họ nhấp vào một liên kết. Liên kết này chạy mã tải tập lệnh khai thác vào máy tính. Mã tập lệnh khai thác có thể chạy ẩn trong khi nạn nhân đang sử dụng máy tính.

Một phương pháp khác là đặt các tập lệnh trên các trang web hoặc quảng cáo có thể được phân phối với số lượng lớn.Khi nạn nhân truy cập trang web bị nhiễm hoặc nhấp vào quảng cáo bật lên trong trình duyệt, tập lệnh sẽ tự động thực thi. Không có mã được lưu trữ trên máy tính của nạn nhân.

Bất kể phương pháp được sử dụng là gì, mã khai thác sử dụng máy tính của nạn nhân để khai thác và gửi kết quả đến máy chủ do tin tặc kiểm soát.

Tin tặc thường sử dụng cả hai phương pháp để tối đa hóa lợi nhuận.Vaystikh cho biết: "Những kẻ tấn công sử dụng các kỹ thuật phần mềm độc hại như một biện pháp dự phòng để cung cấp phần mềm độc hại đáng tin cậy và bền bỉ hơn cho máy tính của nạn nhân. Ví dụ: trong số 100 thiết bị khai thác tiền điện tử cho tin tặc, 10% trong số đó có thể đi qua nạn nhân. Đoạn mã trên thiết bị tạo ra doanh thu, 90% thông qua trình duyệt web của họ.

Không giống như hầu hết các loại phần mềm độc hại khác,Các tập lệnh mã hóa không gây hại cho máy tính hoặc dữ liệu của nạn nhân. Chúng ăn cắp tài nguyên xử lý của CPU.Đối với người dùng cá nhân, hiệu suất máy tính chậm có thể chỉ là một điều khó chịu.Đối với doanh nghiệp, nếu nhiều hệ thống bị chiếm quyền khai thác có thể làm tăng chi phí.Để khắc phục sự cố, bộ phận trợ giúp và bộ phận CNTT dành thời gian theo dõi các vấn đề về hiệu suất và thay thế các thành phần hoặc hệ thống.

Cryptojacking rất thông minh và nghĩ ra nhiều kế hoạch khai thác máy tính của người khác để khai thác tiền điện tử. Hầu hết các kế hoạch không phải là mới và các phương pháp lan truyền của chúng thường được vay mượn từ các phương pháp của phần mềm độc hại khác, chẳng hạn như ransomware hoặc phần mềm quảng cáo. Dưới đây là một số trường hợp thực tế:

Nhân viên lừa đảo chiếm quyền điều khiển hệ thống công ty

Tại Hội nghị kỹ thuật số EmTech năm nay,Darktrace kể câu chuyện về một ngân hàng châu Âu. Các máy chủ của ngân hàng gặp phải lưu lượng truy cập bất thường và chạy chậm qua đêm, nhưng các công cụ chẩn đoán của ngân hàng không tìm thấy điều gì bất thường. Trong thời gian đó, Darktrac nhận thấy, các máy chủ mới đã xuất hiện trực tuyến mà ngân hàng cho biết họ không có. Cuối cùng, khi Darktrac tiến hành kiểm tra thực tế trung tâm dữ liệu, người ta đã phát hiện ra rằng một nhân viên lừa đảo đã xây dựng một hệ thống khai thác tiền điện tử dưới sàn.

sử dụngGitHub lan truyền phần mềm khai thác

Vào tháng 3, Avast Software đã báo cáo rằng,Cryptojacking đang sử dụng GitHub làm máy chủ cho phần mềm khai thác độc hại. Họ tìm thấy một dự án hợp pháp, tạo một nhánh từ dự án đó; sau đó giấu phần mềm độc hại trong cấu trúc thư mục của nhánh đó. Những kẻ lừa đảo tiền điện tử dụ người dùng tải xuống phần mềm độc hại bằng cách sử dụng các mưu đồ lừa đảo, chẳng hạn như lời nhắc cập nhật trình phát Flash hoặc giả làm một trang web trò chơi dành cho người lớn.

Khai thác lỗ hổng rTorrent

Những kẻ tấn công mạng đã phát hiện ra lỗ hổng cấu hình sai rTorrent cho phép truy cập vào một số ứng dụng khách rTorrent mà không cần xác thực giao tiếp XML-RPC. Họ quét Internet để tìm các máy khách chưa được vá lỗi, sau đó triển khai phần mềm khai thác Monero trên chúng.F5 NetworksLỗ hổng được báo cáo vào tháng 2 và người dùng rTorrent nên đảm bảo rằng máy khách của họ không chấp nhận các kết nối bên ngoài.

Plugin độc hại Facexworm của Chrome

xu hướng microxu hướng microNhiều Facexworms nhắm mục tiêu trao đổi tiền điện tử đã được phát hiện và có khả năng phát tán mã khai thác tiền điện tử. Nó vẫn sử dụng các tài khoản Facebook bị nhiễm để phát tán các liên kết độc hại, nhưng cũng có thể đánh cắp tài khoản web và thông tin đăng nhập, cho phép nó cài mã cryptojacking trên các trang đó.

Virus khai thác bạo lực WinstarNssmMiner

vào tháng Năm,Bảo vệ 360Đã phát hiện ra WinstarNssmMiner, một chương trình tấn công khai thác có thể lây lan nhanh chóng. Điểm đặc biệt của chương trình độc hại này là việc gỡ cài đặt nó làm hỏng máy tính của nạn nhân. Trước tiên, WinstarNssmMiner bắt đầu quy trình svchost.exe và cấy mã vào quy trình đó, sau đó đặt thuộc tính của quy trình thành CriticalProcess. Vì máy tính coi đây là một quá trình quan trọng, nên một khi quá trình này bị tắt, máy tính sẽ xuất hiện màn hình xanh.

Nguy cơ công ty của bạn bị tấn công để khai thác có thể được giảm thiểu nếu bạn làm theo các bước sau:

• Đào tạo nâng cao nhận thức về bảo mật doanh nghiệp nên bao gồm nội dung về mối đe dọa của cryptojacking, tập trung vào phương pháp chiếm quyền điều khiển tải tập lệnh khai thác vào máy tính của người dùng thông qua lừa đảo.

Laliberte cho rằng việc đào tạo sẽ hữu ích và lừa đảo sẽ tiếp tục là cách chính mà những kẻ tấn công cung cấp tất cả các loại phần mềm độc hại. Đối với phương pháp tự động thực hiện cryptojacking bằng cách truy cập các trang web hợp pháp, Vaystikh nói rằng việc đào tạo không hiệu quả vì bạn không có cách nào để cho người dùng biết họ không thể truy cập trang web nào.

• Cài đặt plugin chặn quảng cáo hoặc chống khai thác trên trình duyệt web của bạn.

Vì các tập lệnh cryptojacking thường được phát tán qua các quảng cáo trực tuyến, nên việc cài đặt trình chặn quảng cáo có thể là một biện pháp hiệu quả để ngăn chặn chúng. Các trình chặn quảng cáo như Ad Blocker Plus có khả năng phát hiện các tập lệnh khai thác. Laliberte đề xuất các plugin trình duyệt như No Coin và MinerBlock có thể phát hiện và chặn các tập lệnh khai thác.

• Sử dụng các công nghệ bảo vệ điểm cuối có thể phát hiện những người khai thác đã biết.

Nhiều nhà cung cấp phần mềm chống vi-rút/bảo vệ điểm cuối đã thêm khả năng phát hiện những người khai thác. Travis Farral, giám đốc chiến lược bảo mật của Anomali, cho biết: "Antivirus là một trong những cách mà điểm cuối có thể ngăn chặn cryptojacking. Nếu chương trình được biết đến, nó có khả năng bị phát hiện".

• Cập nhật các công cụ lọc web.

Nếu đã xác định được rằng một trang web đang chạy tập lệnh khai thác, hãy đảm bảo rằng tất cả người dùng không truy cập lại trang web đó.

• Duy trì plug-in trình duyệt.

Một số kẻ tấn công đang sử dụng plugin trình duyệt độc hại hoặc plugin hợp pháp bị nhiễm độc để thực thi các tập lệnh khai thác tiền điện tử.

• Giành quyền kiểm soát tốt hơn đối với nội dung trên thiết bị người dùng bằng giải pháp quản lý thiết bị di động (MDM).

Các chính sách Mang theo thiết bị của riêng bạn (BYOD) có thể có hiệu quả trong việc ngăn chặn việc khai thác tiền điện tử bất hợp pháp. Laliberte tin rằng MDM có thể giữ an toàn cho BYOD về lâu dài. Các giải pháp MDM có thể giúp các công ty quản lý ứng dụng và phần bổ trợ trên thiết bị của người dùng. Các giải pháp MDM có xu hướng hướng tới các doanh nghiệp lớn hơn và các doanh nghiệp nhỏ hơn thường không đủ khả năng chi trả. Tuy nhiên, Laliberte chỉ ra rằng thiết bị di động không nguy hiểm bằng máy tính để bàn và máy chủ. Bởi vì các thiết bị di động có xu hướng có ít sức mạnh xử lý hơn nên nó không mang lại nhiều lợi nhuận cho tin tặc.

Cũng giống như phần mềm tống tiền, các doanh nghiệp có thể bị ảnh hưởng mặc dù họ đã nỗ lực hết sức để ngăn chặn tiền điện tử. Các doanh nghiệp có thể gặp khó khăn trong việc phát hiện tiền điện tử, đặc biệt nếu chỉ một vài hệ thống bị xâm phạm. Đây là những gì hoạt động:

• Đào tạo bộ phận trợ giúp để phát hiện các dấu hiệu của cryptojacking.

Vaystikh của SecBI nói rằng đôi khi, dấu hiệu đầu tiên của một vụ tấn công tiền điện tử là khi bộ phận trợ giúp nhận được khiếu nại từ người dùng về việc làm chậm hiệu suất máy tính. Các công ty nên thực hiện điều này một cách nghiêm túc và điều tra thêm.

Các tín hiệu khác mà bộ phận trợ giúp nên tìm kiếm là hệ thống quá nóng có thể gây ra lỗi CPU hoặc quạt làm mát. Laliberte lưu ý rằng hệ thống quá nóng có thể gây hư hỏng do sử dụng nhiều CPU và có thể rút ngắn tuổi thọ của thiết bị. Điều này đặc biệt đúng đối với các thiết bị di động như máy tính bảng và điện thoại thông minh.

• Triển khai giải pháp giám sát mạng.

Theo Vaystikh, cryptojacking trong mạng doanh nghiệp dễ bị phát hiện hơn trong mạng gia đình vì hầu hết các giải pháp điểm cuối của người tiêu dùng không thể phát hiện ra. Cryptojacking rất dễ bị phát hiện với các giải pháp giám sát mạng và hầu hết các doanh nghiệp đều có các công cụ giám sát mạng.

Tuy nhiên, ngay cả với các công cụ và dữ liệu giám sát mạng, rất ít tổ chức có các công cụ và khả năng phân tích thông tin này để phát hiện chính xác. Ví dụ: SecBI đã phát triển một giải pháp AI để phân tích dữ liệu mạng và phát hiện mã hóa và các mối đe dọa cụ thể khác.

Theo Laliberte, giám sát mạng là lựa chọn tốt nhất để phát hiện cryptojacking. Một giải pháp giám sát vành đai xem xét tất cả lưu lượng mạng có nhiều khả năng phát hiện khai thác hơn. Nhiều giải pháp giám sát sẽ đi sâu vào từng người dùng để xác định thiết bị nào bị ảnh hưởng.

Farral cho biết nếu máy chủ doanh nghiệp được trang bị các bộ lọc đáng tin cậy để giám sát các yêu cầu kết nối mạng của điểm cuối đầu ra, thì phần mềm độc hại có thể được phát hiện tốt. Tuy nhiên, ông cảnh báo rằng các lập trình viên khai thác có khả năng viết lại phần mềm độc hại để phá vỡ phương pháp phát hiện này.

• Theo dõi xem trang web của bạn có bị cấy mã tấn công khai thác hay không.

Farral cảnh báo rằng những kẻ lừa đảo tiền điện tử đang cố gắng cài đặt một số mã Javascript trên máy chủ web. Bản thân máy chủ không bị nhắm mục tiêu, nhưng bất kỳ ai truy cập trang web đều có nguy cơ bị lây nhiễm. Ông khuyến nghị các doanh nghiệp nên thường xuyên theo dõi các máy chủ Web của họ để biết các thay đổi đối với tệp hoặc tự thực hiện các thay đổi đối với các trang.

• Cập nhật thông tin về xu hướng cryptojacking.

Cách thức cryptojacking lan truyền và bản thân mã khai thác không ngừng phát triển. Farral cho biết, biết về phần mềm tấn công tiền điện tử và hành vi chiếm quyền điều khiển có thể giúp các công ty phát hiện hành vi tấn công tiền điện tử. Một doanh nghiệp hiểu biết theo kịp với những phát triển mới nhất trong mọi thứ. Nếu bạn hiểu cơ chế lan truyền của cryptojacking, bạn sẽ biết rằng một bộ công cụ khai thác cụ thể đang gửi mã khai thác. Bảo mật bộ công cụ phát triển cũng sẽ là một biện pháp để ngăn chặn tiền điện tử.

• Tắt và chặn các tập lệnh độc hại được gửi bởi các trang web.

Đối với các cuộc tấn công chiếm quyền điều khiển JavaScript trong trình duyệt, sau khi phát hiện mã hóa, tab trình duyệt đang chạy tập lệnh độc hại sẽ bị đóng. Bộ phận CNTT nên chú ý đến URL của trang web gửi tập lệnh và cập nhật bộ lọc web của doanh nghiệp để chặn nó. Các doanh nghiệp có thể xem xét triển khai các công cụ chống khai thác để giúp ngăn chặn các cuộc tấn công trong tương lai.

• Cập nhật và dọn dẹp các tiện ích bổ sung của trình duyệt.

Laliberte cho biết nếu một plug-in lây nhiễm vào trình duyệt thì việc đóng tab sẽ không giúp ích được gì. Đây là lúc để cập nhật tất cả các plugin và xóa các plugin không mong muốn hoặc bị nhiễm.

• Học hỏi và thích nghi.

Để in lại/hợp tác nội dung/tìm kiếm báo cáo, vui lòng liên hệ report@odaily.com, in lại bất hợp pháp sẽ bị pháp luật trừng phạt.

Để in lại/hợp tác nội dung/tìm kiếm báo cáo, vui lòng liên hệ report@odaily.com, in lại bất hợp pháp sẽ bị pháp luật trừng phạt.