หยุดมัลแวร์ขุดเหมืองง่ายๆ ด้วย Chrome Task Manager

In-browser Miners หรือมัลแวร์ขุดเหรียญเงินดิจิทัลบนเบราว์เซอร์เริ่มกลายเป็นปัญหาใหญ่สำหรับผู้ใช้งานอินเทอร์เน็ตในปัจจุบัน โดยเฉพาะอย่างยิ่งเมื่อหลายๆ ไซต์ต่างเริ่มให้บริการสคริปต์สำหรับขุดเหรียญบนเบราว์เซอร์ เช่น CoinHive ทำให้หลายคนอาจตกเป็นเหยื่อโดยไม่รู้ตัว บทความนี้จึงจะมาแนะนำวิธีการใช้ Chrome Task Manager เพื่อค้นหาและยับยั้งมัลแวร์เหล่านั้นแบบง่ายๆ ครับ

รู้จักกับ In-browser Miners กันก่อน

In-broser Miners เป็นสคริปต์ขนาดเล็กที่รันบนเว็บเบราว์เซอร์เพื่อขุดเหรียญเงินดิจิทัล เมื่อสคริปต์นี้ถูกรัน CPU ของคอมพิวเตอร์จะถูกใช้เพื่อขุดเหรียญเงินดิจิทัล เช่น Bitcoin หรือ Monero อย่างต่อเนื่องเพื่อสร้างรายได้ให้แก่แฮกเกอร์ ส่งผลให้ CPU ต้องทำงานหนักตลอดเวลา จน CPU ร้อนจัด และอาจได้รับความเสียหายได้ในที่สุด อย่างไรก็ตาม ผู้ใช้จะไม่ทราบเลยว่าเบราว์เซอร์ที่ตนเองเปิดอยู่ถูกใช้เพื่อขุดเหรียญดิจิทัล จนกระทั่งรู้สึกว่าคอมพิวเตอร์ทำงานช้าลง เริ่มมีอาการค้าง หรือบางทีเครื่องอาจดับไปเลยเนื่องจาก CPU มีอุณหภูมิสูงเกินไป

การโจมตีแบบ In-browser Miners สามารถทำได้หลายวิธี เช่น แฝงโค้ดไว้บนเว็บไซต์ เมื่อผู้ใช้เข้าชมเว็บไซต์ดังกล่าว สคริปต์สำหรับขุดเหรียญเงินดิจิทัลก็จะถูกรันทันที จากการตรวจสอบพบว่า เว็บไซต์เหล่านี้ส่วนใหญ่มักเป็นเว็บโป๊หรือเว็บดูหนังออนไลน์ เนื่องจากผู้เข้าชมจำเป็นต้องเปิดเว็บไซต์ทิ้งไว้ จึงเป็นโอกาสดีที่เจ้าของเว็บ (หรือแฮกเกอร์) จะแอบใช้ CPU เพื่อขุดเหรียญเงินดิจิทัล อีกวิธีการหนึ่งคือการแฝงโค้ดไว้ใน Plug-in หรือ Extension ของเว็บเบราว์เซอร์

Task Manager ไม่สามารถค้นหาสาเหตุที่แท้จริงได้

เมื่อคอมพิวเตอร์ทำงานช้าลงหรือค้าง สิ่งที่หลายๆ คนมักเริ่มทำเป็นอันดับแรกคือเปิดหน้าต่าง Task Manager ของ Windows เพื่อดูว่ามีแอปพลิเคชันใดทำงานผิดปกติหรือไม่ ซึ่งจะพบว่า Process ของเว็บเบราว์เซอร์กำลังใช้ CPU ทำงานสูงผิดปกติ เมื่อผู้ใช้สั่ง End Process นั้นไป คอมพิวเตอร์ก็จะกลับมาอยู่ในสถานะดังเดิม อย่างไรก็ตาม วิธีการนี้เป็นการแก้ปัญหาที่ปลายเหตุ ผู้ใช้จะไม่มีทางทราบเลยว่า Tab หรือ Extension ใดที่เป็นต้นเหตุของการกิน CPU จึงเป็นไปได้ที่จะเกิดเหตุซ้ำอีกในอนาคต

ใช้ Chrome Task Manager ค้นหาและยับยั้ง In-browser Miners

สำหรับผู้ใช้ Google Chrome นั้น สามารถใช้ฟีเจอร์ Chrome Task Manager บนเบราว์เซอร์เพื่อค้นหาเว็บไซต์หรือ Extension ที่ใช้ CPU สูงและอาจเป็นต้นตอของ In-browser Miners ได้ทันที ซึ่งมีวิธีการตรวจสอบ ดังนี้

ตรวจสอบเว็บไซต์ที่ใช้ CPU มากเกินไป
ผู้ใช้สามารถเปิด Chrome Task Manager โดยการกด Shift+ESC หรือเปิดผ่านเมนูของ Chrome โดยไปที่ More Tools แล้วเลือก Chrome Task Manager (เมนู Chrome > Window > Task Manager สำหรับ macOS) เมื่อเข้ามาแล้ว จะเห็นรายชื่อ Process ทั้งหมดบน Chrome และ CPU ที่แต่ละ Process ใช้ ไม่ว่าจะเป็นของ Site, Extension, Internal Process หรือแม้แต่ Subframe

ผู้ใช้สามารถตรวจสอบรายชื่อ Process เพื่อดูว่า Process ใดที่กิน CPU เยอะเป็นพิเศษ ดังตัวอย่างด้านบน Tab ที่ชื่อว่า Phone Killer ใช้ CPU สูงถึง 92.1% ซึ่งเป็นไปได้สูงที่จะมี In-browser Miner เช่น CoinHive แฝงอยู่ ผู้ใช้สามารถปิด Tab ดังกล่าวได้ด้วยการเลือกที่ Process นั้นๆ แล้วกดปุ่ม End Process เมื่อ Tab ถูกปิด คอมพิวเตอร์ควรกลับมาทำงานเป็นปกติ และจำไว้ว่าไม่ควรเข้าถึงเว็บไซต์นั้นๆ อีก

ตรวจสอบ Extension ที่แฝง In-browser Miner

อย่างไรก็ตาม สาเหตุที่ทำให้เปอร์เซ็น CPU ขึ้นสูงอาจไม่ได้มาจากการเข้าถึงเว็บไซต์เสมอไป แต่อาจมาจาก Extension ที่ถูกติดตั้งบนเบราว์เซอร์ ผู้ใช้สามารถสังเกต Extension ที่ใช้ CPU สูงผิดปกติผ่านทาง Chrome Task Manager ได้เช่นกัน ดังแสดงในรูปด้านล่าง SafeBrowse เป็น Extension ที่จะรัน CoinHive ทันทีเมื่อผู้ใช้เปิด Chrome

วิธีการปิด Extension ที่ต้องสงสัยว่ามี In-browser Miner แฝงอยู่ทำโดยการดับเบิลคลิกบนชื่อ Extension นั้นๆ ซึ่ง Chrome จะแสดงหน้าต่างรายชื่อ Extension ที่ถูกติดตั้งอยู่ขึ้นมาแทนพร้อมไฮไลท์ Extension ที่ได้เลือกไว้ ผู้ใช้สามารถกดปุ่มถังขยะเพื่อลบ Extension นั้นทิ้ง ครั้งถัดไปก็จะไม่เกิดเหตุการณ์แบบนี้ขึ้นมาอีก

ในบางกรณี Extension อาจไม่ได้สั่งขุดเหรีญเงินดิจิทัลโดยตรง แต่ใช้วิธีการเปิด iframe เพื่อรัน In-browser Miner ในกรณีนี้ Process ที่เกี่ยวข้องกับ In-browser Miner จะไม่แสดงในรูปของ Tab หรือ Extension แต่จะแสดงในรูปของ Subframe แทน

ถึงแม้ว่า Chrome Task Manager จะไม่บอกตรงๆ ว่า Subframe ดังกล่าวเป็นของ Extension ใด ผู้ใช้ยังคงสามารถดับเบิลคลิกที่ Subframe นั้นๆ ซึ่ง Chrome ก็จะแสดงหน้าต่างรายชื่อ Extension พร้อมไฮไลท์ Extension ที่เป็นเจ้าของ Subframe นั้นให้แทน ผู้ใช้สามารถกดปุ่มถังขยะเพื่อลบ Extension ทิ้งได้เช่นกัน

ปกป้องตัวเองจาก In-browser Miners ได้อย่างไร

Cryptocurrency Miner ถือว่าเป็นประเด็นที่น่าเป็นห่วงสำหรับผู้ใช้อินเทอร์เน็ตในปัจจุบัน โดยเฉพาะอย่างยิ่งเมื่อการขุดเหรียญเงินดิจิทัลสามารถกระทำได้ผ่านเว็บเบราว์เซอร์ วิธีที่ดีที่สุดสำหรับป้องกันทั้ง In-browser Miners และ Cryptocurrency Miners แบบอื่นๆ คือติดตั้งโปรแกรม Antivirus ที่สามารถตรวจจับได้ว่าเว็บเบราว์เซอร์พยายามเชื่อมต่อกับบริการขุดเหรียญอย่าง CoinHive

อย่างไรก็ตาม บริการขุดเหรียญใหม่ๆ อาจปรากฏขึ้นมาเรื่อยๆ ส่งผลให้ Antivirus ไม่สามารถตรวจจับ URL หรือสคริปต์ที่ทำ In-browser Miner ได้ทั้งหมด แนะนำว่าให้ใช้ Adblocker หรือ Extension บนเบราว์เซอร์ เช่น Nocoin เพื่อป้องกันสคริปต์ดังกล่าว รวมไปถึงดาวน์โหลดลิสต์รายชื่อที่เกี่ยวข้องกับ In-browser Mining จาก CoinBlockerLists เพื่อทำการบล็อก IP และโดเมนเหล่านั้น

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/using-the-chrome-task-manager-to-find-in-browser-miners/