Symantec đã tìm thấy hai tiện ích mở rộng Chrome bí mật khai thác đồng Monero. Vào ngày 8 tháng 5, chúng tôi đã phát hiện ra hai tiện ích mở rộng cho trình duyệt web Google Chrome bí mật thực hiện khai thác tiền ảo sau khi chúng được cài đặt. Cả hai tiện ích đều được tìm thấy trên Cửa hàng Google Chrome chính thức.
Một trong những phần mở rộng, được gọi là 2048, là phiên bản của một trò chơi chiến lược dựa trên toán học phổ biến. Tiện ích mở rộng được xuất bản vào tháng 8 năm 2017 và có hơn 2.100 người dùng, điều này cho thấy nhà xuất bản đã kiếm được một số lợi nhuận bằng cách sử dụng chu kỳ CPU của những người dùng đó để khai thác tiền điện tử.
Phần mở rộng khác, Mp3 Songs Download là trình tải xuống MP3 nhưng chỉ chuyển hướng người dùng đến trang web tải xuống MP3 khi họ nhấp vào nút mở rộng. Mp3 Songs Download bí mật ra mắt một kịch bản khai thác tiền xu ngầm. Phần mở rộng Mp3 Songs Download được xuất bản vào tháng 6 năm 2017 và có khoảng 4.000 người dùng.
Coin-mining script: 2048
Mã nguồn cho tiện ích mở rộng 2048 chứa miền được mã hóa cứng được kích hoạt khi Chrome được khởi chạy.
Biểu mẫu trong http://www.madafak[DOT]in/landing sẽ gửi yêu cầu POST với trường ẩn đến www.madafak [DOT] sau một giây.
Trang chính www.madafak [DOT] trong nỗ lực vượt qua chính nó dưới dạng Google Analytics nhưng nó bí mật tải một thư viện coinminer (ga.js) trong nền.
Từ kịch bản hiển thị trong, chúng ta có thể thấy rằng coinminer khai thác Monero, sử dụng CPU ở mức 0,5 (50 phần trăm) và chứa địa chỉ ví Monero được mã hóa cứng (5bdd3443937ebe08d3e3c99e9524afc13702eba28340).
Kịch bản khai thác tiền xu: Mp3 Songs Download
Phần mở rộng Mp3 Bài hát Tải xuống không bắt đầu tập lệnh khai thác tiền xu cho đến khi người dùng nhấp vào nút mở rộng và được chuyển hướng đến một trang web. Như JavaScript trong hình hiển thị, phần mở rộng chuyển hướng người dùng đến http: // mp3song-s [DOT] com.
Trang web này giống như một trang tải xuống MP3 bình thường và thực sự hoạt động như một trang. Tuy nhiên, nó cũng tải JavaScript khai thác tiền xu (VEZ4.js) một cách bí mật, có thể nhìn thấy trong trang web Mã nguồn của trang web. Từ mã nguồn, chúng ta cũng có thể thấy khóa ví được mã hóa cứng và tỷ lệ điều tiết, được đặt ở mức 0, có nghĩa là 100% chu kỳ CPU của người dùng có thể được sử dụng để khai thác.
Tác động đến người dùng
Việc khai thác tiền xu sẽ tồn tại miễn là trình duyệt (đã cài đặt tiện ích mở rộng 2048) hoặc trang web (trong trường hợp tiện ích mở rộng Tải xuống Bài hát Mp3) vẫn mở. Tác động của hoạt động này có thể bao gồm làm chậm thiết bị, pin quá nóng, tăng mức tiêu thụ năng lượng và thậm chí các thiết bị trở nên không sử dụng được.
Hình cho thấy máy tính thử nghiệm của chúng tôi sử dụng CPU CPU tăng vọt ở mức 100 phần trăm sau khi tiện ích mở rộng Mp3 Songs Download được cài đặt.
Hơn nữa, hoạt động độc hại của các tiện ích mở rộng này được phát hiện khó hơn bởi thực tế là chúng hoạt động như mô tả. Ví dụ, trò chơi 2048 có thể chơi được giống như bất kỳ trò chơi 2048 nào và trang web MP3 chứa các tệp MP3 có thể tải xuống. Điều này có nghĩa là nhiều người dùng sẽ không nghi ngờ và có thể không nhận ra sức mạnh tính toán của họ đang bị xâm nhập để kiếm tiền cho các nhà phát triển đằng sau các tiện ích mở rộng này.
Chúng tôi đã thông báo cho Google về các tiện ích mở rộng khai thác tiền xu này và chúng hiện đã bị xóa khỏi Cửa hàng Google Chrome trực tuyến.
Phòng chống
- Cài đặt một ứng dụng bảo mật phù hợp, chẳng hạn như Norton hoặc Symantec Endpoint Protection, để bảo vệ thiết bị và dữ liệu của bạn. (Miner.Jswebcoin)
- Hãy chú ý đến việc sử dụng CPU và bộ nhớ trên máy tính hoặc thiết bị của bạn. Việc sử dụng cao bất thường có thể là một dấu hiệu của việc khai thác tiền ảo.
- Kiểm tra tên nhà phát triển ứng dụng, có thể tìm thấy trên trang cửa hàng ứng dụng. Thực hiện tìm kiếm trên internet cho nhà phát triển vì có thể có người dùng đã có kinh nghiệm về ứng dụng của họ, tốt hay xấu.
- Kiểm tra đánh giá ứng dụng. Mặc dù các đánh giá giả là phổ biến, nhưng họ lại thường ngắn và chung chung. Cũng có thể có những đánh giá hợp pháp từ những người dùng đã tìm ra rằng ứng dụng này không phải là những gì nó xuất hiện.
Nếu bạn cần tư vấn về giải pháp Symantec, hãy liên hệ với chúng tôi ngay:
- HOTLINE: 0398686950
- EMAIL: SALES@VINSEP.COM | INFO@VINSEP.COM
- SUPPORT CENTER: WWW.SUPPORT.VINSEP.COM
Theo Symantec.com