Cảnh báo mã độc ‘đào’ tiền ảo bất hợp pháp ẩn mình trong các website

Theo VNCERT, qua công tác theo dõi sự cố trên không gian mạng Việt Nam, đơn vị này đã ghi nhận được rất nhiều sự cố an toàn thông tin về mã độc khai thác tiền ảo Coinhive ẩn mình trên các website.

Cụ thể, khi người dùng truy cập vào trang web, thư viện mã Coinhive sẽ tự động chạy trên máy tính người dùng dưới dạng tiện ích mở rộng hoặc trực tiếp trong trình duyệt nhằm mục đích “đào” tiền ảo Bitcoin, Monero… bằng cách sử dụng trái phép tài nguyên của người dùng như CPU, ổ cứng, bộ nhớ… và gửi về ví điện tử của tin tặc.

Cảnh báo mã độc ‘đào’ tiền ảo bất hợp pháp ẩn mình trong các website. Ảnh minh họa

Lệnh điều phối do ông Nguyễn Khắc Lịch, Phó Giám đốc VNCERT ký ngày 15/11 gửi tới các đơn vị chuyên trách về công nghệ, an toàn thông tin các đơn vị liên quan từ Trung ương tới địa phương, doanh nghiệp, chỉ rõ các yêu cầu với các đơn vị để phòng tránh.

Cụ thể, các quản trị website phải kiểm tra, rà soát mã nguồn để phát hiện các mã được chèn vào. Dấu hiệu nhận biết gồm các từ khóa trong mã nguồn website coinhive.com, coinhive, coin-hive, coinhive.min.js, authedmine.com, authedmine.min.js.

Khi phát hiện website bị chèn các mã khai thác như đã nêu trên, cần rà soát và kiểm tra lại lỗ hổng trên máy chủ, lỗ hổng trên website, kiểm tra các tài khoản bị lộ lọt có quyền thay đổi mã nguồn nhằm khắc phục lỗ hổng bị lợi dụng. Quản trị mạng cần triển khai các biện pháp nhằm ngăn chặn việc chạy các đoạn mã trái phép Coinhive trên máy tính.

Công việc cần làm của quản trị mạng là thực hiện giám sát và bóc gỡ xử lý trên các máy tính trong mạng có xuất hiện kết nối đến các địa chỉ tên miền afminer.com, coin-have.com, coinerra.com, coinhive.com, coinnebula.com, crypto-loot.com, hashforcash.us, jescoin.com, ppoi.org, authedmine.com. Ngoài ra, phải sử dụng tường lửa để chặn kết nối ra các địa chỉ nói trên.

Ngoài ra cần rà quét, kiểm tra hệ thống để tìm ra và loại bỏ các đoạn mã có trong các phần mềm mở rộng "Add-on" của trình duyệt web; Khuyến nghị người dùng cài đặt các tiện ích mở rộng: “No Coin Chrome” hay “minerBlock” đối với Chrome; cài đặt “NoScripts” cho Firefox.

Người dùng có thể kiểm tra hiệu suất sử dụng CPU của máy tính bằng các ứng dụng như Windows Task Manager và Resource Monitor. Nếu máy tính có dấu hiệu chậm chạp và kiểm tra thấy hiệu suất sử dụng CPU của các trình duyệt hoặc tiện ích mở rộng cao thì có thể máy tính đó đã bị nhiễm Coinhive. Cần thông báo gấp cho quản trị mạng để xử lý.

Việc kiểm tra và quét các lỗ hổng tồn tại trên hệ thống để phát hiện kịp thời sự xuất hiện của các đoạn mã độc hại nên thực hiện thường xuyên. Trong trường hợp phát hiện ra các lỗ hổng, lập tức triển khai biện pháp khắc phục, cập nhật các bản vá bổ sung và loại bỏ các chương trình độc hại đã bị tin tặc chèn vào.

Minh Hải 

Đang có cuộc tấn công có chủ đích bằng mã độc nguy hiểm tại Việt Nam

Cảnh báo mã độc tấn công ứng dụng ngân hàng trực tuyến

Vietcombank cảnh báo mã độc mới tấn công ứng dụng ngân hàng trực tuyến