Trend Micro, nhà cung cấp phần mềm bảo mật, phần cứng và dịch vụ, phát hiện ra một chiến dịch quảng cáo độc hại trên các trang web có lưu lượng truy cập cao được sử dụng bởi Coinhive, một mã JavaScript cho phép các quản trị viên trang web khai thác các CPU của khách hàng Monerowith.
Những kẻ tấn công nhắm mục tiêu vào DoubleClick của Google, cung cấp các dịch vụ phân phối quảng cáo trên Internet, Trend Micro đã báo cáo trên blog tình báo an ninh của họ. Ngoài ra, các vụ lừa đảo cũng sử dụng một web miner riêng biệt để kết nối với một pool cá nhân.
Trend Micro đã báo cáo những phát hiện của mình cho Google về chiến dịch này, có khả năng ảnh hưởng đến Nhật Bản, Pháp, Đài Loan, Ý và Tây Ban Nha.
Trend Micro đã nhận thấy sự gia tăng lưu lượng truy cập tới năm tên miền độc hại vào ngày 18/01/2018 và vào ngày 24/01/2018, họ đã tìm thấy sự gia tăng gần 285% số lượng Miner Coinhive. Lưu lượng truy cập đến từ quảng cáo DoubleClick.
Tập lệnh Web Miner đã bị nhúng
Hai tập lệnh web miner khác nhau đã bị nhúng, cùng với một tập lệnh hiển thị các quảng cáo từ DoubleClick. Trang web bị tấn công hiển thị quảng cáo hợp pháp trong khi hai miner web thực hiện nhiệm vụ bí mật của họ.
Việc sử dụng các quảng cáo trên các trang web hợp pháp được cho là một phương thức tấn công lượng lớn người dùng.
Lưu lượng kết nối với những miner này đã bị từ chối sau ngày 24/01/2018.
Quảng cáo có chứa mã JavaScript tạo ra một số ngẫu nhiên giữa một và một trăm biến số. Khi nó tạo ra một biến trên mười, nó báo động coinhive.min để khai thác 80% sức mạnh của CPU. Điều này xảy ra 90% thời gian. Đối với 10% còn lại, một miner web cá nhân khởi động. Hai miner được cấu hình với bộ điều khiển 0.2, cho biết họ sử dụng 80% tài nguyên CPU để khai thác mỏ.
Sau khi ẩn giấu một web cá nhân được gọi là mqoj_1, một mã JavaScript dựa trên Coinhive vẫn có thể được xác định. Miner biến đổi sau đó sử dụng một mining pool, wss [:] / / ws [.] L33tsite [.] Info [:] 8443, được sử dụng để tránh khoản phí hoa hồng 30% Coinhive.
Có thể ngăn chặn tấn công
Các miner Coinhive có thể được ngăn chặn bằng cách sử dụng tài nguyên CPU ngăn chặn các ứng dụng dựa trên JavaScript chạy trên các trình duyệt. Tác động của phần mềm độc hại Cryptocurrency và các mối đe dọa khai thác lỗ hổng của hệ thống có thể được giảm thiểu bằng cách thường xuyên cập nhật và vá lỗi phần mềm.
Trend Micro Smart Protection Suites và Worry-Free Business Security bảo vệ doanh nghiệp và người dùng khỏi các mối đe dọa bằng cách chặn các tệp độc hại và các URL có liên quan.
Trend Micro Protection Suites cung cấp các tính năng như giám sát hành vi, dịch vụ web trực tuyến, Machine Learning (học máy) trung thực cao và kiểm soát ứng dụng để giảm tác động của những miner cryptocurrency và các mối đe dọa khác.
