Ngày hội về Web & Internet – Vietnam Web Summit 2017 dành cho cộng đồng đam mê công nghệ đã diễn ra tại Tp.HCM vào sáng ngày 01/12/2017. Tham dự chương trình năm nay, Công ty Bảo Tín trình bày nội dung về kỹ thuật tận dụng các ứng dụng web có lỗ hổng bảo mật nhằm thực hiện đào tiền ảo sử dụng Javascript CoinHive với tiêu đề Tiền ảo đã ký sinh trên trang web của bạn như thế nào?. Trong đầu quý 4/2017, phương thức đào tiền ảo thông qua ứng dụng Web đã trở nên rầm rộ trong cộng đồng các miner, do tính chất dễ dàng thực hiện bằng cách chèn các mã javascript vào nội dung trang web và biến những máy tính truy cập web thành những công cụ đào tiền ảo cho tin tặc. Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam cũng đã gởi công văn cảnh báo đến các cơ quan, tổ chức về nguy cơ mã độc này sử dụng tài nguyên CPU cho mục đích kiếm tiềm của tin tặc và đưa ra các hướng dẫn phát hiện, xử lý mã độc này trên website nạn nhân.

Tin tặc sử dụng mã đào tiền ảo Monero (XMR) để thực hiện kiếm tiền từ nạn nhân truy cập các website đã bị tấn công

Phía sau kỹ thuật tận dụng trình duyệt làm thiết bị đào tiền là công nghệ WebAssembly; đây là một công nghệ mới cho phép lập trình viên phát triển các thuật toán và xử lý logic thông qua các tập tin binary và được xử lý thông qua trình duyệt. Nếu như bạn là một lập trình viên tạo ra các ứng dụng web, thì WebAssembly có thể được xem là một phiên bản nâng cấp của Javascript, giúp ứng dụng web có nhiều tính năng và tốc độ xử lý cao hơn rất nhiều so với cơ chế sử dụng Javascript truyền thống.

Các ứng dụng sử dụng WebAssembly sẽ có định dạng tập tin .wasm; CoinHive đã sử dụng phục vụ cho việc tăng tốc độ xử lý CPU đào tiền ảo Monero

Tận dụng vào các lỗ hổng bảo mật trong thời gian qua như Dirty Cow (Linux), ExternalBlue (Windows), WordPress Content Injection,… đã cho phép các tin tặc dễ dàng triển khai các mã độc vào website nạn nhân. Với kinh nghiệm cung cấp dịch vụ Đánh giá bảo mật ứng dụng web, Bảo Tín nhận thấy một số lỗ hổng được cung cấp trong tiêu chuẩn OWASP cũng được tận dụng triệt để cho mục tiêu kiếm tiền thụ động của tin tặc.

Các phiên bản biến thể của mã đào XMR đang được phát tán khá rộng rãi trên thế giới nhằm vượt qua các cơ chế phát hiện của phần mềm diệt virus hiện nay. Tuy nhiên, bằng các cài đặt một số plugin như “No Coin Chrome” hay “minerBlock” đối với Chrome; cài đặt “NoScripts” cho Firefox,… Tuy nhiên, các kỹ thuật lẩn tránh vẫn được các tin tặc cập nhật nhằm vượt qua các bộ lọc đã được biết đến. Người dùng cần thường xuyên giám sát các hoạt động CPU, Bộ nhớ,… khi truy cập các website và tự động các ly các ứng dụng web này để không trở thành nạn nhân ngoài ý muốn.

Bài trình bày Tiền ảo đã ký sinh trên trang web của bạn như thế nào?