Tác giả của mã độc sử dụng code JavaScript truyền đi qua quảng cáo độc hại (malvertising) và đào nhiều loại tiền kỹ thuật số trên trình duyệt của người dùng mà họ không hề hay biết.
Kỹ thuật này hiện được khai thác trên các trang web của Nga và Ukraina nhưng những kẻ xấu cũng đang có ý định mở rộng sang các khu vực khác.
Quảng cáo độc hại trên các trang game và streaming
Kẻ xấu lợi dụng những công ty quảng cáo trực tuyến cho phép khai thác quảng cáo bằng những đoạn mã JavaScript tùy chỉnh. Nó là bản có chỉnh sửa của MineCrunch (hay còn gọi là Web Miner), một kịch bản ra đời từ năm 2014 có thể đào tiền ảo bằng đoạn mã JavaScript chạy bên trong trình duyệt.
Việc đào tiền ảo vốn rất tốn tài nguyên máy và sẽ làm chậm máy tính của người dùng. Để tránh bị nghi ngờ, kẻ xấu phát tán những quảng cáo độc hại chủ yếu trên các trang phát trực tuyến video hoặc game trên trình duyệt.
Cả 2 kiểu trang web này đều dùng nhiều tài nguyên và người dùng sẽ không nghi ngờ khi máy tính họ bị chậm đi đôi chút. Hơn nữa, người dùng cũng có xu hướng ở lâu hơn trên các trang game hay stream video, cho phép việc đào mỏ và kiếm lợi cho kẻ xấu.
Công cụ đào tiền Monero, Zcash và nhiều loại tiền ảo khác
ESET, công ty bảo mật phát hiện ra quảng cáo độc hại này nói rằng các kịch bản đào bằng JavaScript có thể đào Monero, Feathercoin và Litecoin.
Kẻ xấu dường như chỉ phải sử dụng những đặc điểm đào Monero, các cấu hình cho công cụ đào Litecoin được bỏ trống trong khi Feathercoin được thiết lập mặc định, sử dụng địa chỉ Feathercoin tương tự như trên trang demo trên GitHub. https://kukunin.github.io/webminer/
Ngoài ra, các nhà nghiên cứu cũng tìm ra một chiến dịch khác tiến hành đào Zcash, dường như do 1 nhóm khác thực hiện. Họ không dùng quảng cáo độc hại mà host đoạn mã đào JavaScript ngay trên trang. Chưa rõ trang này bị hack hay admin của trang có biết công cụ đào Zcash được host trên domain của mình.
Hoạt động đào tiền ảo khi truy cập trang wotsite[.]net
Dựa trên số DNS Lookup cho các domain có liên quan tới chiến dịch đào Monero, ESET cho rằng domain có quảng cáo độc hại nhận được nhiều traffic DNS Lookup như dịch vụ Gist của GitHub.
Công cụ chặn quảng cáo có thể ngăn được việc đào bằng JavaScript
Tin tốt là người dùng có thể bảo vệ mình khỏi các công cụ đào tiền dựa trên JavaScript ẩn trong code bằng những công cụ chặn quảng cáo. Việc đào mỏ sẽ dừng lại khi người dùng rời trang và cũng không cần công cụ dọn dẹp nào khác để loại bỏ malware khỏi máy tính.
Công cụ chặn quảng cáo sẽ không giúp ích gì nếu đoạn code đào bằng JavaScript tải từ bên ngoài domain hay ad slot được chọn - trường hợp chủ website host và tải đoạn kịch bản từ chính domain của họ.
Đây không phải lần đầu tiên
Công cụ đào mỏ trên trình duyệt không có gì mới. Dịch vụ như Bitp.it đã thử nghiệm nó từ năm 2011 nhưng sau cùng cũng bị sập. Năm 2015, công ty có tên Tidbit cung cấp cho chủ website cách đào tiền ảo trên máy người truy cập cũng bị đóng cửa. Nhà chức trách cho rằng như vậy là phạm pháp, không khác gì hack vì Tidbit hay chủ website không hề hỏi người dùng quyền thực hiện hành động đó.
Đào tiền ảo là ngành kinh doanh hấp dẫn với những chủ malware. Theo báo cáo gần đây, ít nhất 1,65 triệu máy tính bị nhiễm malware đào tiền ảo trong năm nay.