크립토재킹 Coinhive 마이너, 마이크로소프트 스토어에서 최초로 발견 돼

Cryptojacking Coinhive Miners for the first time found on the Microsoft Store

시만텍이 크립토재킹 Coinhive 마이너를 드랍하는 잠재적 유해 프로그램(PUAs; potentially unwanted applications) 8개가 마이크로소프트 스토어에 침투한 것을 발견했습니다.

제거 된 앱은 Fast-search Lite, Battery Optimizer (Tutorials), VPN Browsers+, Downloader for YouTube Videos, Clean Master+ (Tutorials), FastTube, Findoo Browser 2019, Findoo Mobile & Desktop Search입니다.

<이미지 출처 : https://www.symantec.com/blogs/threat-intelligence/cryptojacking-apps-microsoft-store>

악성 모네로(XMR) Coinhive 크립토마이닝 스크립트는 구글의 정식 Google Tag Manager(GTM) 라이브러리를 악용하는 것으로 나타났습니다.

개발자들은 추적 및 분석 목적으로 자바스크립트와 HTML 컨텐츠를 그들의 앱에 삽입하기 위해 GTM 태그 관리 시스템을 사용합니다.

“사용자들은 마이크로소프트 스토어의 탑 무료 앱 목록 또는 키워드 검색을 통해 이 앱을 접할 수 있습니다. 우리가 발견한 샘플은 윈도우 10에서(윈도우 10 S모드 포함) 실행이 가능합니다.

“이 앱들이 다운로드 및 실행 되면, 그들의 도메인 서버에 있는 구글 태그 관리자(GTM)을 트리거링하여 코인을 마이닝하는 자바스크립트 라이브러리를 가져옵니다. 이후 마이닝 스크립트가 활성화 되어 공격자를 위한 모네로를 마이닝하기 위해 컴퓨터의 CPU 사이클을 사용하기 시작합니다.”

이 악성 앱들은 2018년 4월~12월 사이에 마이크로소프트 앱 스토어에 추가 되었습니다.

구글 플레이와는 다르게, 마이크로소프트 스토어는 앱 설치 횟수를 공개하지는 않지만, 전문가들은 이 앱에 1,900개에 육박하는 가짜 평점이 등록 되어 있었다고 밝혔습니다.

앱과 C&C 서버간의 네트워크 트래픽을 스누핑한 결과, 연구원들은 이들이 자바스크립트 기반의 Coinhive 마이너 스크립트 변종을 사용하고 있다는 것을 발견했습니다. 이는 2017년 9월부터 공격자들이 크립토재킹 캠페인의 일환으로 사용해온 잘 알려진 툴입니다.

연구원들은 이 앱과 관련 된 네트워크 트래픽의 분석을 통해 각 앱의 호스팅 서버를 발견할 수 있었습니다. 모든 서버들은 출처가 동일해, 이 앱들은 같은 개발자가 다른 개발자명을 사용하여 발행한 것으로 추측할 수 있습니다.

출처 :

https://securityaffairs.co/wordpress/81150/malware/cryptojacking-miners-microsoft-store.html

https://www.symantec.com/blogs/threat-intelligence/cryptojacking-apps-microsoft-store