Liệu mã độc Coinhive đang âm thầm đào tiền ảo của bạn?

Mã độc Coinhive làm cả thế giới thấy khiếp sợ bởi sự âm thầm xâm nhập khiến người dùng chủ quan dẫn đến bị lợi dụng tài nguyên. Hiểu mã độc Coinhive là gì sẽ giúp bạn nhận dạng dấu hiệu và tránh nhiễm mã độc này.

1. Mã độc Coinhive là gì?

1.1 Khái niệm

Mã độc Coinhive hay còn gọi mã đào tiền ảo là một phần mềm độc hại đối với người sử dụng web. Các tin tặc lén cài chúng vào các web và lây lan sang máy tính người truy cập để lạm dụng tài nguyên trục lợi từ việc đào tiền ảo.

Liệu mã độc Coinhive đang âm thầm đào tiền ảo của bạn?
Hình 1: Mã độc Coinhive khai thác tiền ảo cho chủ website.

1.2 Mã độc Coinhive đã biến chất 

Mã độc này biết đến là một thư viện của JavaScript với mục đích ban đầu là dịch vụ khai thác tiền điện tử hiệu quả cho các thợ đào coin trên toàn cầu. Chúng được những nhân viên thiết kế web hay các quản trị viên sử dụng để khai thác tiền ảo từ tài nguyên của người truy cập trang web. Sử dụng Coinhive, người chủ sở hữu website không cần chạy các quảng cáo mà vẫn kiếm được thu nhập cao.

Chính sự im lặng đó, các tin tặc cũng lợi dụng để tạo ra hàng loạt những website mang mã độc trên. Chúng bám theo những người truy cập vào website, lấy dữ liệu mọi người giao dịch tiền ảo qua đó thu lợi khủng từ giao dịch đầu tư của người đã dùng website đó. Lợi nhuận đổi tiền ảo đào trộm lên đến 250.000 đô la một tháng. Đồng tiền điện tử được các tin tặc khai thác chủ yếu là Monero, DarkNetCoin, DasCoin.

2. Cách hoạt động của mã độc Coinhive

Mã độc đào tiền ảo thường dưới dạng tiện ích mở rộng hoặc trong các trình duyệt miễn phí. Lợi dụng việc các gói mở rộng kiểm duyệt không kỹ các tin tặc sẽ cài mã độc vào hệ thống mở rộng của trang web. Khi được cài đặt, mã độc sẽ sử dụng tài nguyên có sẵn trên máy người dùng như CPU, VGA, bộ nhớ, ổ cứng,… việc đào tiền ảo trong âm thầm. 

Mã độc Coinhive sử dụng để khai thác tiền điện tử Monero. 30% số lượng tiền ảo bất kỳ được đào bởi mã này sẽ bị giữ lại. Phần còn lại sẽ gửi về ví lưu trữ của tin tặc đã cài mã độc trên website đó.

3. Cách thức xâm nhập của mã độc

Việc tải các phần mềm hoặc đăng nhập tài khoản vào các phần mềm có dính mã độc Coinhive trước đó là nguyên nhân chính làm máy tính bạn dính mã độc này. 

Khi mọi người tải một phần mềm, ứng dụng trên kho trực tuyến Chrome có dính sẵn mã độc thì ngay sau khi cài đặt xong lên thanh công cụ mở rộng, mã độc này đã lặng lẽ nằm vùng ở CPU của máy để chờ khai thác.

Hoặc bạn xem một trang web đang sử dụng tập lệnh này do tin tặc chèn mã vào, trình duyệt của bạn sẽ tiến hành làm các phép tính khai thác tiền ảo cho chúng với tỷ lệ chia tiền 70:30 cho ví lưu trữ người chèn mã và được giữ lại.

Liệu mã độc Coinhive đang âm thầm đào tiền ảo của bạn?
Hình 2: Mã Coinhive xâm nhập qua các phần mềm đã bị cài từ trước.

4. Nhận biết máy tính nhiễm mã độc 

Một vài dấu hiệu cơ bản cho biết máy tính bạn có bị mã độc Coinhive chiếm dụng tài nguyên hay không :

Khi không làm gì thì CPU vẫn luôn báo công suất ở mức 100%.

Tiếng hú mạnh từ quạt tản nhiệt CPU khi sử dụng card đồ họa VGU hay chơi game chứng tỏ máy đang hoạt động hết công suất.

Trình duyệt web đang sử dụng hơn 50% công suất CPU.

Máy tính kết nối vào website trên tên miền có kết nối như coinhive.com, coinhive, coin-hive, coinhive.min.js, authedmine.com, authedmine.min.js.

Hệ điều hành Windows luôn rất chậm dẫn tới các chương trình khác cũng bị chậm.

Máy tính trở nên chậm hơn dù không có ứng dụng nào được cài đặt thêm.

Cần tác vụ lâu hơn bình thường để tắt các cửa sổ.

Mất nhiều thời gian hơn khi khởi động PC, mở trình duyệt web.

Khi bị xâm chiếm, vì chủ quan ban đầu bạn sẽ nghĩ là máy tính bị chậm do bộ nhớ quá tải, lỗi hệ thống,….Nếu tiếp tục trong thời gian dài, công suất quá cao khiến tuổi thọ của CPU bị rút ngắn nhanh chóng và có thể bạn sẽ sớm mua máy tính mới. 

Không ngoại trừ máy tính cá nhân, các máy tính doanh nghiệp cũng sẽ có thể bị mã độc xâm nhập vì đây là môi trường tuyệt vời để lạm dụng tài nguyên khai thác tiền ảo.

5. Cách tránh mã độc Coinhive 

5.1 Đối với quản trị mạng

Theo báo Vietnamnet.vn đưa tin Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam VNCERT Bộ TT&TT đã ra cảnh báo mã độc Coinhive nhà quản trị mạng cần thực hiện xử lý như sau: 

Giám sát, bóc gỡ xử lý trên các máy tính trong mạng có xuất hiện các kết nối đến các địa chỉ tên miền như: afminer.com, coin-hive.com, coinhive.com, coinerra.com, coinnebula.com, crypto-loot.com, authedmine.com, hashforcash.us, jescoin.com, ppoi.org.

Dùng tường lửa chặn kết nối đến các địa chỉ sau:  afminer.com, coin-hive.com, coinhive.com, coinerra.com, coinnebula.com, crypto-loot.com, authedmine.com, hashforcash.us, jescoin.com, ppoi.org.

Quét và kiểm tra hệ thống có lỗ hổng không và loại bỏ các đoạn mã độc trong các phần mềm mở rộng Add-on của trình duyệt web.

Liệu mã độc Coinhive đang âm thầm đào tiền ảo của bạn?
Hình 3 : Người dùng Internet cần biết cách mã Coinhive

5.2 Đối với quản trị website

Bạn đang quản trị website hay đang có web riêng thì nên thường xuyên kiểm tra, rà soát nguồn để kịp thời phát hiện các mã nguồn có đang được cài vào website của bạn không như coinhive.com, coinhive, coin-hive, coinhive.com.js, authedmine.com, authedmine.com.js. Loại bỏ khỏi hệ thống web ngay khi phát hiện.

5.3 Đối với người dùng

Đối với người dùng truy cập web phải thường xuyên kiểm tra xem:

Kiểm tra CPU, bộ nhớ máy có đang hoạt động vượt quá công suất không bằng các ứng dụng như Windows Task Manager và Resource Monitor.

Kiểm tra truy cập các website có bị chậm, CPU có tăng nhanh công suất hoạt động khi dùng web không.

Cài đặt tiện ích mở rộng có ích cho Chrome như No Coin Chrome, MinerBlock.

6. Phương thức mã độc đào tiền ảo mới

Sau khi mã độc Coinhive ra mắt không lâu thì những tin tặc bắt đầu biết lợi dụng chúng để kiếm tiền bất chính bằng cách chèn mã này vào loạt các website bị hack. Có hàng triệu lượt truy cập vô tình giúp chúng đào tiền ảo. Do sự nguy hiểm của mã, các công ty diệt virus, đơn vị an ninh mạng đã nhanh chóng cập nhật để phát hiện hành vi trái phép này. Vì vậy, tội phạm mạng đã chuyển sang cách khác để tiếp tục thực hiện đào tiền. Tin tặc đã chèn URL rút gọn của Coinhive vào trang web bị hack. 

Liệu mã độc Coinhive đang âm thầm đào tiền ảo của bạn?
Hình 4: Tin tặc đã có phương thức cài mã Coinhive mới

Vì thời gian chuyển tiếp link có thể điều chỉnh ở tùy chọn của Coinhive qua giá trị harsh nên tin tặc có thể buộc trình duyệt của bạn đào tiền ảo trong khoảng thời gian dài hơn. Khi giá trị harsh đủ, đường link của địa chỉ web rút gọn lại dẫn người dùng về lại lần nữa để tiếp tục đào, và bạn chỉ nghĩ rằng trang web đang làm mới lại.

Không chỉ vậy, tin tặc còn chèn đường link đến các trang bị hack khác, ngụy trang dưới dạng phần mềm chính thống để lừa người truy cập tải mã độc này về máy tính.

Mong rằng với những thông tin về mã độc Coinhive mọi người đã hiểu rõ hơn cách nhận biết và tránh mã này vì chúng khai thác thông tin cá nhân nên sẽ ảnh hưởng tới nhiều vấn đề, đặc biệt với những nhà đầu tư thường xuyên truy cập vào các website về tiền điện tử, chứng khoán, thị trường Forex cần lưu ý về mã độc này hơn.

Tổng hợp: toptradingforex.com

Google search engine