Chiến dịch khai thác tiền điện tử lén lút
Các hacker đã lây nhiễm hơn 3,500 trang web bằng các script khai thác tiền điện tử ẩn mình, lén lút chiếm đoạt trình duyệt của người dùng để tạo ra Monero, một loại tiền điện tử tập trung vào quyền riêng tư, được thiết kế để làm cho các giao dịch khó bị theo dõi hơn. Malware này không đánh cắp mật khẩu hay khóa tệp. Thay vào đó, nó lén lút biến trình duyệt của người dùng thành các động cơ khai thác Monero, hút một lượng nhỏ sức mạnh xử lý mà không có sự đồng ý của người dùng.
“Bằng cách hạn chế mức sử dụng CPU và ẩn lưu lượng trong các luồng WebSocket, nó đã tránh được những dấu hiệu rõ ràng của việc khai thác tiền điện tử truyền thống,” c/side tiết lộ vào thứ Sáu.
Cryptojacking và sự trở lại của nó
Cryptojacking, đôi khi được viết thành một từ, là việc sử dụng trái phép thiết bị của ai đó để khai thác tiền điện tử, thường là mà không có sự biết đến của chủ sở hữu. Chiến thuật này lần đầu tiên thu hút sự chú ý của công chúng vào cuối năm 2017 với sự trỗi dậy của Coinhive, một dịch vụ đã ngừng hoạt động mà từng thống trị cảnh khai thác tiền điện tử trước khi bị đóng cửa vào năm 2019.
Trong cùng năm đó, các báo cáo về sự phổ biến của nó đã trở nên mâu thuẫn, với một số cho Decrypt biết rằng nó chưa trở lại “mức độ trước đây” ngay cả khi một số phòng thí nghiệm nghiên cứu mối đe dọa xác nhận sự gia tăng 29% vào thời điểm đó. Hơn nửa thập kỷ sau, chiến thuật này dường như đang có sự trở lại yên lặng: tái cấu trúc từ các script ồn ào, làm nghẹt CPU thành các thợ mỏ ít nổi bật được xây dựng cho sự ẩn mình và kiên trì.
Chiến lược mới và rủi ro
Thay vì làm hỏng thiết bị, các chiến dịch ngày nay lây lan một cách lén lút trên hàng ngàn trang web, theo một sách hướng dẫn mới mà, như c/side nói, nhằm “giữ thấp, khai thác chậm.” Sự thay đổi trong chiến lược này không phải là ngẫu nhiên, theo một nhà nghiên cứu an ninh thông tin quen thuộc với chiến dịch đã nói chuyện với Decrypt với điều kiện giấu tên.
Nhóm này dường như đang tái sử dụng cơ sở hạ tầng cũ để ưu tiên quyền truy cập lâu dài và thu nhập thụ động. “Những nhóm này rất có thể đã kiểm soát hàng ngàn trang WordPress và cửa hàng thương mại điện tử bị hack từ các chiến dịch Magecart trước đó,” nhà nghiên cứu nói với Decrypt.
“Việc cài đặt thợ mỏ là điều đơn giản, họ chỉ cần thêm một script nữa để tải JS đã được mã hóa, tái sử dụng quyền truy cập hiện có,” nhà nghiên cứu nói.
Nhưng điều nổi bật, nhà nghiên cứu nói, là cách mà chiến dịch hoạt động một cách lén lút, khiến cho việc phát hiện bằng các phương pháp cũ trở nên khó khăn. “Một cách mà các script khai thác tiền điện tử trước đây được phát hiện là do mức sử dụng CPU cao,” Decrypt được cho biết. “Làn sóng mới này tránh điều đó bằng cách sử dụng các thợ mỏ WebAssembly bị hạn chế, giữ mức sử dụng CPU dưới radar và giao tiếp qua WebSockets.”
WebAssembly cho phép mã chạy nhanh hơn trong trình duyệt, trong khi WebSockets duy trì kết nối liên tục với máy chủ. Kết hợp lại, những điều này cho phép một thợ mỏ tiền điện tử hoạt động mà không thu hút sự chú ý.
Rủi ro không phải là “nhắm mục tiêu trực tiếp đến người dùng tiền điện tử, vì script không làm cạn kiệt ví, mặc dù về mặt kỹ thuật, họ có thể thêm một công cụ làm cạn ví vào tải trọng,” nhà nghiên cứu giấu tên nói với Decrypt. “Mục tiêu thực sự là các chủ sở hữu máy chủ và ứng dụng web,” họ thêm vào.
