18/09/2018, 15:52

URL rút gọn ẩn chứa nguy cơ bị mã độc đào tiền ảo tấn công

Theo thống kê hơn 100 trang web hiện đang được lập chỉ mục có chứa cùng một URL rút gọn cnhv[.]co trong định dạng Hex URL. Ngoài ra, nhiều website đang cố ý sử dụng iFrame để kiếm tiền ảo từ khách truy cập. Hiện nay, Việc lợi dụng khai thác tiền ảo lén lút của mã độc đào tiền ảo trên ...

Theo thống kê hơn 100 trang web hiện đang được lập chỉ mục có chứa cùng một URL rút gọn cnhv[.]co trong định dạng Hex URL. Ngoài ra, nhiều website đang cố ý sử dụng iFrame để kiếm tiền ảo từ khách truy cập. Hiện nay, Việc lợi dụng khai thác tiền ảo lén lút của mã độc đào tiền ảo trên website là một vấn đề khi gây ảnh hưởng tới chi phí quản trị hệ thống, chủ sở hữu trang web và khách truy cập của họ.

Lừa đảo khách truy cập

Thông qua kỹ thuật mới, các mã độc đào tiền ảo trên website có thể ẩn náu qua các trình rút gọn URL. Sự khác biệt lần này là không chuyển hướng khách truy cập đến trang web bị nhiễm hoặc trang web lừa đảo mà thay vào đó, các trình rút gọn URL được xây dựng bởi Coinhive với mục đích khai thác tiền ảo thông qua CPU của khách truy cập trang web, bất cứ khi nào trình duyệt của họ tải URL này.

Về lý thuyết, điều này có thể được sử dụng bởi một trang web như một cách mới để kiếm tiền từ lưu lượng khách truy cập trang web, ngoài việc quảng cáo hoặc yêu cầu khác như trả phí để trở thành thành viên.

20 TRIỆU NGƯỜI DÙNG ĐÃ SỬ DỤNG TIỆN ÍCH CHẶN QUẢNG CÁO CHỨA MÃ ĐỘC

Lạm dụng dịch vụ rút ngắn URL

Hình thức rút ngắn URL cũng đang bị lạm dụng, như được hiển thị bởi mẫu obfuscation mới phía dưới mà chúng tôi đã gặp phải trong tệp chủ đề của khách hàng:

URL1

Sẽ dễ dàng để đọc hơn khi bạn đã chuyển đổi chuỗi thập lục phân trong hàm unescape của JavaScript:

URL2

Như bạn có thể thấy, trình rút ngắn URL được tải thông qua một iFrame được cố tình đặt thành kích thước 1 × 1, do đó việc chú ý trực quan trên trang web sẽ khá khó khăn. Hơn nữa, việc sử dụng URL rút gọn cnhv[.]co trong iFrame cho phép nó được tự động tải cùng với phần còn lại của trang web thay vì yêu cầu khách truy cập thực hiện hành động như nhấp vào liên kết URL, đó là mục đích sử dụng dự kiến của dịch vụ.

Một vấn đề khác với trình rút gọn URL là nó cho phép người điều chỉnh số lượng hàm hash cần thiết để thiết bị của khách truy cập hoàn thành. Điều này ảnh hưởng trực tiếp đến thời gian thiết bị của bạn chạy cryptomining hash bằng cách sử dụng CPU.

Khai thác chỉ bắt đầu sau khi tải một URL rút gọn cnhv[.]co, vì nó lấy cùng một mã JavaScript nhỏ hơn mà chúng tôi đã ghi lại trong các bài đăng trước đó:

URL3

Mã độc đào tiền ảo trên website ẩn náu thông qua URL gọn

Cuối cùng, có một vấn đề từ làm cho các công cụ rút ngắn URL bị hạn chế sử dụng, bởi nhiều đối tượng sử dụng các công cụ này để che giấu các URL độc hại (lừa đảo, tải xuống v.v …).

Có một số dịch vụ trực tuyến hữu ích có thể làm giảm bớt vấn đề này bằng cách hiển thị cho bạn URL gốc đã được rút ngắn và đôi khi có thể xác định các chuyển hướng độc hại. Thật không may, các dịch vụ không có với URL rút gọn cnhv[.]co, vì vậy bạn không thể biết được URL sẽ chuyển hướng đến đâu sau khi hash khai thác. Bạn có thể vô tình khai thác tiền ảo trên các trang web với một cnhv[.]co iFrame ịnection và sau khi khai thác xong, được chuyển hướng qua một URL rút gọn đến một trang web bị xâm phạm khác chứa các phần mềm độc hại khác.

XEM THÊM: GẦN 500.000 MÁY TÍNH ĐÃ BỊ NHIỄM MÃ ĐỘC ĐÀO TIỀN ẢO DOFOIL CHƯA ĐẦY 12 GIỜ

0