Các chuyên gia an ninh mạng tại **cside** đã phát hiện một chiến dịch tinh vi lây nhiễm hơn **3.500 website** bằng các miner JavaScript độc hại, đánh dấu sự trở lại đáng báo động của kỹ thuật crypto-jacking, gợi nhớ đến thời kỳ hoàng kim của Coinhive vào năm 2017.
Bản chất mới của tấn công Crypto-jacking
Chiến dịch mới này, được phát hiện vào cuối năm 2024, thể hiện sự thay đổi đáng kể so với các miner tiêu tốn tài nguyên trong quá khứ. Trước đây, các miner gây ra tình trạng chậm thiết bị và hao pin đáng kể, dẫn đến việc Chrome và Firefox chặn rộng rãi các hoạt động này vào năm 2019. Không giống như các hoạt động công khai từng chiếm tới **12%** tổng hash rate của mạng Monero, phiên bản hiện tại sử dụng các kỹ thuật che giấu nâng cao và thực thi ở mức độ thấp để né tránh phát hiện. Điều này biến trình duyệt của người dùng không nghi ngờ thành các node đào tiền mã hóa dai dẳng.
Tiến hóa từ các chiến dịch cũ
Mô hình crypto-jacking đã phát triển từ các chiến dịch “brute-force” gây ra dấu hiệu rõ ràng như mức sử dụng CPU cao và suy giảm hiệu suất thiết bị. Thế hệ mới tập trung vào sự tinh vi và khả năng duy trì, hoạt động như một “ký sinh trùng kỹ thuật số” hơn là một công cụ khai thác tài nguyên một cách thô bạo. Bằng cách điều chỉnh mức tiêu thụ tài nguyên và nhúng lưu lượng truy cập vào các luồng WebSocket, các miner này có thể tồn tại vô thời hạn, liên tục hút sức mạnh tính toán mà không bị phát hiện bởi các biện pháp bảo vệ chống virus hoặc trình duyệt truyền thống. Sự thay đổi này báo hiệu một xu hướng rộng hơn trong các mối đe dọa phía máy khách, nơi khả năng duy trì được ưu tiên hơn sự hung hãn.
Cơ chế phát hiện và lây nhiễm
Việc khám phá chiến dịch bắt đầu bằng cảnh báo từ một trình thu thập dữ liệu thông thường (routine crawler alert) về một tệp JavaScript của bên thứ ba được lưu trữ tại một URL đáng ngờ.
Phát hiện ban đầu
Tệp JavaScript được cảnh báo nằm tại `https://www.yobox[.]store/karma/karma.js?karma=bs?nosaj=faster.mo`. URL này chứa các tham số truy vấn được tạo ngẫu nhiên, được thiết kế để che giấu mục đích độc hại của nó. Thử nghiệm sandbox ban đầu không cho thấy các yêu cầu mạng hoặc tăng đột biến CPU ngay lập tức. Tuy nhiên, hệ thống phát hiện bất thường dựa trên AI đã gắn cờ tệp này là độc hại, thúc đẩy cuộc điều tra sâu hơn về các hoạt động bí mật của nó.
Kỹ thuật tiêm nhiễm và tải payload
Cơ chế tiêm nhiễm liên quan đến một script được mã hóa **base64** được nhúng qua thẻ `
