Cryptojacking Coinhive Miners for the first time found on the Microsoft Store
시만텍이 크립토재킹 Coinhive 마이너를 드랍하는 잠재적 유해 프로그램(PUAs; potentially unwanted applications) 8개가 마이크로소프트 스토어에 침투한 것을 발견했습니다.
제거 된 앱은 Fast-search Lite, Battery Optimizer (Tutorials), VPN Browsers+, Downloader for YouTube Videos, Clean Master+ (Tutorials), FastTube, Findoo Browser 2019, Findoo Mobile & Desktop Search입니다.
<이미지 출처 : https://www.symantec.com/blogs/threat-intelligence/cryptojacking-apps-microsoft-store>
악성 모네로(XMR) Coinhive 크립토마이닝 스크립트는 구글의 정식 Google Tag Manager(GTM) 라이브러리를 악용하는 것으로 나타났습니다.
개발자들은 추적 및 분석 목적으로 자바스크립트와 HTML 컨텐츠를 그들의 앱에 삽입하기 위해 GTM 태그 관리 시스템을 사용합니다.
“사용자들은 마이크로소프트 스토어의 탑 무료 앱 목록 또는 키워드 검색을 통해 이 앱을 접할 수 있습니다. 우리가 발견한 샘플은 윈도우 10에서(윈도우 10 S모드 포함) 실행이 가능합니다.
“이 앱들이 다운로드 및 실행 되면, 그들의 도메인 서버에 있는 구글 태그 관리자(GTM)을 트리거링하여 코인을 마이닝하는 자바스크립트 라이브러리를 가져옵니다. 이후 마이닝 스크립트가 활성화 되어 공격자를 위한 모네로를 마이닝하기 위해 컴퓨터의 CPU 사이클을 사용하기 시작합니다.”
이 악성 앱들은 2018년 4월~12월 사이에 마이크로소프트 앱 스토어에 추가 되었습니다.
구글 플레이와는 다르게, 마이크로소프트 스토어는 앱 설치 횟수를 공개하지는 않지만, 전문가들은 이 앱에 1,900개에 육박하는 가짜 평점이 등록 되어 있었다고 밝혔습니다.
앱과 C&C 서버간의 네트워크 트래픽을 스누핑한 결과, 연구원들은 이들이 자바스크립트 기반의 Coinhive 마이너 스크립트 변종을 사용하고 있다는 것을 발견했습니다. 이는 2017년 9월부터 공격자들이 크립토재킹 캠페인의 일환으로 사용해온 잘 알려진 툴입니다.
연구원들은 이 앱과 관련 된 네트워크 트래픽의 분석을 통해 각 앱의 호스팅 서버를 발견할 수 있었습니다. 모든 서버들은 출처가 동일해, 이 앱들은 같은 개발자가 다른 개발자명을 사용하여 발행한 것으로 추측할 수 있습니다.
출처 :
https://securityaffairs.co/wordpress/81150/malware/cryptojacking-miners-microsoft-store.html
https://www.symantec.com/blogs/threat-intelligence/cryptojacking-apps-microsoft-store
갠드크랩 5.1 복호화 툴 출시, 새로운 변종 갠드크랩 5.2도 발견돼 (0) | 2019.02.20 |
---|---|
500px홈페이지 , 1480만명의 사용자 정보유출사건 발생 (0) | 2019.02.19 |
중국의 징둥금융(京东金融)앱, 사용자 민감정보 유출 (0) | 2019.02.18 |
안면인식정보가 포함된 256만명이 넘는 사용자의 데이터 유출 (0) | 2019.02.18 |
공격자들이 리눅스 시스템에서 루트 권한을 얻을 수 있는 Snapd 결점 발견 (0) | 2019.02.15 |
댓글 영역