Sau quá trình theo dõi sự cố trên không gian mạng Việt Nam, VNCERT đã ghi nhận được rất nhiều sự cố an toàn thông tin về mã độc khai thác tiền ảo Coinhive ẩn mình trên các website.
Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thuộc Bộ TT&TT vừa có công văn khẩn về việc phát hiện, ngăn chặn mã độc "đào" tiền ảo bất hợp pháp ẩn mình trên các website có thể gây ra nguy cơ mất an toàn thông tin cho người dùng máy tính.
Theo VNCERT, sau quá trình theo dõi sự cố trên không gian mạng Việt Nam, đơn vị này đã ghi nhận được rất nhiều sự cố an toàn thông tin về mã độc khai thác tiền ảo Coinhive ẩn mình trên các website.
Cụ thể, khi người dùng truy cập vào các trang web, thư viện mã Coinhive sẽ tự động chạy trên máy tính người dùng dưới dạng tiện ích mở rộng hoặc trực tiếp trong trình duyệt nhằm mục đích “đào” tiền ảo Bitcoin, Monero… bằng cách sử dụng trái phép tài nguyên của người dùng như: CPU, ổ cứng, bộ nhớ… và gửi về ví điện tử của tin tặc.
Điều này sẽ khiến máy tính của người dùng bị chậm, đặc biệt, khi lây lan rộng sẽ gây tắc nghẽn băng thông, xa hơn là nguy cơ tiềm ẩn mất an toàn thông tin dữ liệu.
Qua theo dõi không gian mạng, gần đây trung tâm NCERT ghi nhận rất nhiều sự cố an toàn thông tin về mã độc khai thác tiền ảo Coinhive ẩn mình trên các website. Ảnh minh họa |
Trước sự nguy hiểm này, VNCERT đưa ra các biện pháp khẩn cấp ngăn chặn mã độc Coinhive. Cụ thể, đối với quản trị website, VNCERT yêu cầu kiểm tra, kiểm tra, rà soát mã nguồn để phát hiện các mã được chèn vào. Dấu hiệu nhận biết gồm các từ khóa trong mã nguồn website “coinhive.com”, “coinhive”, “coin-hive”, “coinhive.min.js”, “authedmine.com”, authedmine.min.js.
Nếu phát hiện website bị chèn các mã khai thác như đã nêu trên, cần rà soát và kiểm tra lại lỗ hổng trên máy chủ, lỗ hổng trên website, kiểm tra các tài khoản bị lộ, lọt thông tin có quyền thay đổi mã nguồn, nhằm khắc phục lỗ hổng bị lợi dụng.
Đối với quản trị mạng, cần triển khai các biện pháp nhằm ngăn chặn việc chạy các đoạn mã trái phép "Coinhive" trên máy tính như sau: Thực hiện giám sát và bóc gỡ xử lý trên các máy tính trong mạng có xuất hiện các kết nối đến các địa chỉ tên miền afminer.com, coin-have.com, coinerra.com, coinhive.com, coinnebula.com, crypto-loot.com, hashforcash.us, jescoin.com, ppoi.org, authedmine.com; Sử dụng tường lửa để chặn các kết nối ra các địa chỉ sau: afminer.com, coin-have.com, coinerra.com, coinhive.com, coinnebula.com, crypto-loot.com, hashforcash.us, jescoin.com, ppoi.org, authedmine.com; Rà quét, kiểm tra hệ thống để tìm ra và loại bỏ các đoạn mã có trong các phần mềm mở rộng "Add-on" của trình duyệt web.
Ngoài ra, VNCERT cũng khuyến nghị người dùng cài đặt các tiện ích mở rộng: “No Coin Chrome” hay “minerBlock” đối với Chrome; cài đặt “NoScripts” cho Firefox.
Trung tâm này cũng cảnh báo tới người dùng, nếu máy tính có dấu hiệu chậm chạp và kiểm tra thấy hiệu suất sử dụng CPU của các trình duyệt hoặc tiện ích mở rộng cao thì có thể máy tính đó đã bị nhiễm Coinhive, cần thông báo gấp cho quản trị mạng để xử lý. Ngoài ra, cần phải thường xuyên kiểm tra và quét các lỗ hổng tồn tại trên hệ thống để phát hiện kịp thời sự xuất hiện của các đoạn mã độc hại. Trong trường hợp phát hiện ra các lỗ hổng, lập tức triển khai biện pháp khắc phục, cập nhật các bản vá bổ sung và loại bỏ các chương trình độc hại đã bị tin tặc chèn vào.
VNCERT cũng yêu cầu, các đơn vị báo cáo tình hình lây nhiễm và kết quả xử lý (nếu có) về cơ quan Điều phối Quốc gia (Trung tâm VNCERT) trước ngày 30/11/2017.
Vũ Đậu (T/h)