Hiện Tượng Cryptojacking Đã Quá Khó Kiểm Soát năm 2025

Cryptojacking, đã bùng nổ về mức độ phổ biến vào mùa thu này, có một mục tiêu có vẻ đáng giá: Sử dụng một nguồn tài nguyên chưa được khai thác để tạo ra một nguồn thu nhập thay thế cho các trang web game hoặc truyền thông, và giảm sự phụ thuộc vào quảng cáo. Nó hoạt động bằng cách nhúng một thành phần JavaScript vào trang web có thể tận dụng sức mạnh xử lý của thiết bị đang truy cập để đào một loại tiền điện tử (thường là Monero). Mỗi người truy cập có thể chỉ thực hiện một chút ít đào khi họ ở đó, nhưng mỗi người dùng đóng góp một số lực xử lý qua thời gian có thể tạo ra tiền thật. Người dùng có thể thậm chí không nhận ra điều gì đang xảy ra. Lý thuyết, đó có thể là một thắng lợi cả hai bên. Trong thực tế, không nhiều như vậy.

Khi hiện tượng cryptojacking lan rộ trên web—chủ yếu là nhờ đến "máy đào trong trình duyệt" ban đầu, Coinhive, và các bản sao của nó—các triển khai chủ yếu không đạt được những mục tiêu cao quý đó. Thay vào đó, kỹ thuật này được sử dụng để lợi dụng tài nguyên của những người không biết, cả về phần cứng và hóa đơn điện, và ngày càng bị chặn như là phần mềm độc hại bởi các chương trình quét và chặn quảng cáo. Cho đến nay, những nỗ lực để giữ cho cryptojacking theo đúng con đường đã chủ yếu đi vào quên lãng.

Tiền Dễ Dàng

Cryptojacking không đòi hỏi việc tải về, bắt đầu ngay lập tức và hoạt động hiệu quả. Làm cho nó trở nên nguy hiểm hơn, hacker có thể âm thầm đưa một thành phần đào tiền vào trang web không nghi ngờ và lấy cắp tiền điện tử từ lưu lượng truy cập của trang web chính thức. Phần mềm cryptojacking bất hợp pháp đã làm nổi loạn các trang web không ngờ như Politifact và Showtime. Trong một sự cố nổi bật từ đầu tháng 12, một khách hàng sử dụng Wi-Fi công cộng tại một quán Starbucks ở Buenos Aires phát hiện ra rằng có người đã can thiệp vào hệ thống Wi-Fi, làm trễ kết nối để đào Monero bằng thiết bị của khách hàng.

Mặc dù có những cuộc tấn công âm thầm nổi bật đó, các nhà nghiên cứu nói rằng hầu hết cryptojacking là có chủ đích, và thực hành này đang phát triển theo cách lo lắng.

"Có một sự tăng ổn định trong việc sử dụng CoinHive qua cuối tháng 11 và đầu tháng 12, có lẽ do sự tăng vọt trong giá trị của tiền điện tử," nói Paul Ducklin, chuyên gia công nghệ hàng đầu tại công ty bảo mật Sophos. "Khó mà đoán được động cơ của một người điều hành trang web không xác định, nhưng dựa trên phân tích dữ liệu phát hiện của chúng tôi trong tháng 11, hầu hết các trang web đào tiền đều làm điều đó có chủ đích, và một phần lớn đáng kể đang chiếm hết CPU mà họ có thể."

Những yêu cầu xử lý cao đó có thể gây tổn thương thực sự cho thiết bị nạn nhân theo thời gian. Một loại malware Android, được gọi là Loapi, đào tiền điện tử mạnh mẽ đến mức nó có thể gây hại vật lý cho các thiết bị mà nó chạy trên.

Và vì cryptojacking còn mới mẻ, hacker vẫn liên tục phát triển các đổi mới để tối đa hóa thu nhập của họ. Ví dụ, Coinhive tính phí cho những người điều hành trang web sử dụng kịch bản đào của nó. Do đó, hacker đã tránh những người này và tránh phát hiện bởi các chương trình quét malware và chặn quảng cáo bằng cách lưu trữ gian điệp đào mỏ riêng cho thành phần JavaScript gọi lại. Các chương trình quét và chặn có thể dễ dàng đưa vào danh sách đen mọi thứ liên quan đến Coinhive, nhưng việc theo kịp với một danh sách vô tận các máy chủ độc lập là khó khăn hơn nhiều.

Trong một sáng tạo khác từ tháng 11, các nhà nghiên cứu bảo mật tại Malwarebytes Labs phát hiện ra rằng một số cryptojackers đã tìm cách tồn tại ngay cả sau khi người dùng đóng tab đào. Để làm điều này, cryptojacker mở một cửa sổ trình duyệt âm thầm gọi là "pop-under" ẩn sau đồng hồ taskbar của Windows.

Không Có Phương Thuốc Chữa

Để đối mặt với chỉ trích về thiếu minh bạch, Coinhive đã phát hành một phiên bản mới của trình đào JavaScript của mình có tên là AuthedMine. Thay vì chạy tự động và ẩn, AuthedMine thực sự điều này chưa thực sự thành công cho đến nay, một phần vì các chương trình chặn quảng cáo và phần mềm chống virus xử lý nó giống như bất kỳ cryptojacker nào khác.

Coinhive thừa nhận rằng nỗ lực đóng hộp Pandora với phiên bản AuthedMine chưa hoàn toàn thành công cho đến nay, một phần vì các chương trình chặn quảng cáo và phần mềm chống virus xử lý nó giống như bất kỳ cryptojacker nào khác.

"Tính đến thời điểm này, chúng tôi phải xem xét AuthedMine chỉ là một phần thành công," công ty nói trong một tuyên bố gửi đến blog.mytour.vn. "Hầu hết các chương trình chặn quảng cáo hiện đã chặn AuthedMine, mặc dù chúng tôi có ý định tốt nhất. Ngay cả một số phần mềm chống virus (như Norton) hiện xem xét AuthedMine như một mối đe doạ—điều này hoàn toàn làm mất mục đích sử dụng AuthedMine thay vì cài đặt ban đầu của chúng tôi. Chúng tôi đang tìm kiếm cách khác để làm cho điều này thành công."

Sophos, ví dụ, hiện xem tất cả các cryptojacker là phần mềm độc hại "ký sinh trùng". Những nhà phát triển trình duyệt, như những người làm việc trên Dự án Chromium làm cơ sở của Google Chrome, cũng đã xem xét cách xử lý cryptojacking và liệu có nên chặn nó để bảo vệ người dùng hay không. Trình duyệt Opera gần đây đã thông báo rằng nó đang thêm một cơ chế gọi là "NoCoin" vào chương trình chặn quảng cáo tích hợp của mình để ngăn chặn các kịch bản đào mỏ.

Biến đổi của Trình Duyệt

Khi cryptojacking trở nên phổ biến, nó cũng đã phục vụ như một loại nguyên tắc thống nhất cho các công nghệ đào mỏ khác nhau đã từng từng phát triển suốt những năm qua. Coinhive thậm chí còn bắt đầu quảng bá một loại cơ chế chống thư rác gọi là Proof of Work Captcha, một ý tưởng đã tồn tại từ nhiều năm. Thay vì kiểm tra xem một người dùng có phải là người hay không, công cụ này giải quyết các câu đố đào mỏ toán học tốn nhiều tài nguyên để làm chậm và làm cho việc tải trang hoặc thực hiện các hành động cụ thể trên một trang web trở nên khó khăn và kinh tế không khả thi đối với người gửi thư rác. Những captcha này giảm bớt sự phiền phức cho người sử dụng cá nhân, nhưng chúng tăng tải bộ xử lý thiết bị và có thể mất thời gian dài để hoàn thành trên các máy cũ.

Càng nhiều công nghệ đào mỏ này lớp chồng lên nhau—dù cho mục đích chính đáng hay là lừa đảo—người dùng web có thể bắt đầu trải nghiệm một cảnh quan duyệt web đã thay đổi. Theo phân tích của công ty bảo mật di động Wandera, trong khoảng thời gian từ tháng 10 đến tháng 11, số lượng thiết bị di động gặp ít nhất một đoạn mã cryptojacking tăng 287%.

Cryptojacking có thể phát triển đến mức sức mạnh xử lý của thiết bị người dùng trở nên quan trọng hơn bao giờ hết đối với trải nghiệm duyệt web của họ, thậm chí là quyền truy cập vào thông tin và dịch vụ, theo Dan Cuddeford, Giám đốc Kỹ thuật Kinh doanh của Wandera. "Tôi vẫn thích những ứng dụng trong tâm trí tôi là sử dụng cryptojacking có chủ đích," Cuddeford nói. "Nhưng chúng ta có thể sẽ đối mặt với một tình huống trong tương lai nơi bạn có thể truy cập nhanh hơn vì bạn có thể giải quyết những câu đố này nhanh hơn. Càng nhanh CPU bạn có, bạn càng nhanh chóng tiến triển đến màn hình tiếp theo, và mọi người có thể bắt đầu được đối xử khác nhau."

Một số ứng dụng của cryptojacking vẫn cung cấp sự minh bạch cho sự lựa chọn, cách tiếp cận mà cộng đồng an ninh đã đẩy mạnh để làm cho công nghệ trở nên hợp pháp và giảm tiêu cực. Nhưng trong dải ứng dụng không rõ ràng, đáng lo ngại khi xem xét rằng đào mỏ trong trình duyệt cuối cùng có thể trở thành một dạng của ưu tiên hóa trả phí, nơi những người có khả năng xử lý cao hơn có ưu tiên khi sử dụng dịch vụ trực tuyến.