Cryptojacking Extensions được tìm thấy trên Google Chrome Web Store

bởi | Th6 29, 2019 | Phân Tích Chuyên Sâu

Symantec đã tìm thấy hai tiện ích mở rộng Chrome bí mật khai thác đồng Monero. Vào ngày 8 tháng 5, chúng tôi đã phát hiện ra hai tiện ích mở rộng cho trình duyệt web Google Chrome bí mật thực hiện khai thác tiền ảo sau khi chúng được cài đặt. Cả hai tiện ích đều được tìm thấy trên Cửa hàng Google Chrome chính thức.

Một trong những phần mở rộng, được gọi là 2048, là phiên bản của một trò chơi chiến lược dựa trên toán học phổ biến. Tiện ích mở rộng được xuất bản vào tháng 8 năm 2017 và có hơn 2.100 người dùng, điều này cho thấy nhà xuất bản đã kiếm được một số lợi nhuận bằng cách sử dụng chu kỳ CPU của những người dùng đó để khai thác tiền điện tử.

Cryptojacking Extensions

Phần mở rộng khác, Mp3 Songs Download là trình tải xuống MP3 nhưng chỉ chuyển hướng người dùng đến trang web tải xuống MP3 khi họ nhấp vào nút mở rộng. Mp3 Songs Download bí mật ra mắt một kịch bản khai thác tiền xu ngầm. Phần mở rộng Mp3 Songs Download được xuất bản vào tháng 6 năm 2017 và có khoảng 4.000 người dùng.

Coin-mining script: 2048

Mã nguồn cho tiện ích mở rộng 2048 chứa miền được mã hóa cứng được kích hoạt khi Chrome được khởi chạy.

Biểu mẫu trong http://www.madafak[DOT]in/landing sẽ gửi yêu cầu POST với trường ẩn đến www.madafak [DOT] sau một giây.

Trang chính www.madafak [DOT] trong nỗ lực vượt qua chính nó dưới dạng Google Analytics nhưng nó bí mật tải một thư viện coinminer (ga.js) trong nền.

Từ kịch bản hiển thị trong, chúng ta có thể thấy rằng coinminer khai thác Monero, sử dụng CPU ở mức 0,5 (50 phần trăm) và chứa địa chỉ ví Monero được mã hóa cứng (5bdd3443937ebe08d3e3c99e9524afc13702eba28340).

Kịch bản khai thác tiền xu: Mp3 Songs Download

Phần mở rộng Mp3 Bài hát Tải xuống không bắt đầu tập lệnh khai thác tiền xu cho đến khi người dùng nhấp vào nút mở rộng và được chuyển hướng đến một trang web. Như JavaScript trong hình hiển thị, phần mở rộng chuyển hướng người dùng đến http: // mp3song-s [DOT] com.

Trang web này giống như một trang tải xuống MP3 bình thường và thực sự hoạt động như một trang. Tuy nhiên, nó cũng tải JavaScript khai thác tiền xu (VEZ4.js) một cách bí mật, có thể nhìn thấy trong trang web Mã nguồn của trang web. Từ mã nguồn, chúng ta cũng có thể thấy khóa ví được mã hóa cứng và tỷ lệ điều tiết, được đặt ở mức 0, có nghĩa là 100% chu kỳ CPU của người dùng có thể được sử dụng để khai thác.

Tác động đến người dùng

Việc khai thác tiền xu sẽ tồn tại miễn là trình duyệt (đã cài đặt tiện ích mở rộng 2048) hoặc trang web (trong trường hợp tiện ích mở rộng Tải xuống Bài hát Mp3) vẫn mở. Tác động của hoạt động này có thể bao gồm làm chậm thiết bị, pin quá nóng, tăng mức tiêu thụ năng lượng và thậm chí các thiết bị trở nên không sử dụng được.

Hình cho thấy máy tính thử nghiệm của chúng tôi sử dụng CPU CPU tăng vọt ở mức 100 phần trăm sau khi tiện ích mở rộng Mp3 Songs Download được cài đặt.

Hơn nữa, hoạt động độc hại của các tiện ích mở rộng này được phát hiện khó hơn bởi thực tế là chúng hoạt động như mô tả. Ví dụ, trò chơi 2048 có thể chơi được giống như bất kỳ trò chơi 2048 nào và trang web MP3 chứa các tệp MP3 có thể tải xuống. Điều này có nghĩa là nhiều người dùng sẽ không nghi ngờ và có thể không nhận ra sức mạnh tính toán của họ đang bị xâm nhập để kiếm tiền cho các nhà phát triển đằng sau các tiện ích mở rộng này.

Chúng tôi đã thông báo cho Google về các tiện ích mở rộng khai thác tiền xu này và chúng hiện đã bị xóa khỏi Cửa hàng Google Chrome trực tuyến.

Phòng chống

  • Cài đặt một ứng dụng bảo mật phù hợp, chẳng hạn như Norton hoặc Symantec Endpoint Protection, để bảo vệ thiết bị và dữ liệu của bạn. (Miner.Jswebcoin)
  • Hãy chú ý đến việc sử dụng CPU và bộ nhớ trên máy tính hoặc thiết bị của bạn. Việc sử dụng cao bất thường có thể là một dấu hiệu của việc khai thác tiền ảo.
  • Kiểm tra tên nhà phát triển ứng dụng, có thể tìm thấy trên trang cửa hàng ứng dụng. Thực hiện tìm kiếm trên internet cho nhà phát triển vì có thể có người dùng đã có kinh nghiệm về ứng dụng của họ, tốt hay xấu.
  • Kiểm tra đánh giá ứng dụng. Mặc dù các đánh giá giả là phổ biến, nhưng họ lại thường ngắn và chung chung. Cũng có thể có những đánh giá hợp pháp từ những người dùng đã tìm ra rằng ứng dụng này không phải là những gì nó xuất hiện.

Nếu bạn cần tư vấn về giải pháp Symantec, hãy liên hệ với chúng tôi ngay:

Theo Symantec.com

Đánh Giá Bài Viết

Bài Viết Khác

Làm thế nào để bạn bảo vệ người dùng khỏi ransomeware hiệu quả?

Th8 2, 2019 |

Kẻ tấn công đang tìm cách phân phối ransomware và phần mềm độc hại khác, hoặc để có quyền truy cập vào thông tin và hệ thống nhạy cảm, tội phạm mạng từ lâu đã có thể tin tưởng vào một cộng đồng lớn của các đồng minh: người dùng không mong muốn. Mặc dù có những rủi ro...

Đọc thêm

Truy cập Free Wifi một cách an toàn

Th7 21, 2019 |

Báo cáo rủi ro của Norton về Wi-Fi cho thấy 69% người Mỹ tin rằng thông tin cá nhân của họ là an toàn khi sử dụng Wi-Fi công cộng, nhưng 2/3 hành động không an toàn khi trực tuyến. 57% người dùng không thể chờ đợi để đăng nhập vào mạng Wi-Fi khi họ đến nơi mới. Rõ...

Đọc thêm

Cách biến điểm yếu lớn nhất thành tuyến phòng thủ đầu tiên

Th6 20, 2019 |

Tổ chức của bạn, nhân viên của bạn phải là hàng phòng thủ đầu tiên, không phải là liên kết yếu nhất Khi bạn lên kế hoạch bảo vệ tài sản thông tin của tổ chức của mình, thực tế là tất cả những nỗ lực của bạn sẽ được thực hiện với người dùng của bạn không? Nó có thể dễ...

Đọc thêm

Nhìn lại về bảo mật Public Cloud

Th6 14, 2019 |

Các doanh nghiệp đã đi một chặng đường dài với an ninh mạng, nắm lấy các nền tảng bảo mật doanh nghiệp mạnh mẽ và nâng cao vai trò bảo mật và thực tiễn tốt nhất. Tuy nhiên, với sự gia tăng của đám mây công cộng đang gia tăng và các doanh nghiệp chuyển sang các quy...

Đọc thêm
Exit mobile version