攻擊者在Microsoft應(yīng)用商店中放置密碼劫持應(yīng)用程序

admin

攻擊者在Microsoft應(yīng)用商店中放置密碼劫持應(yīng)用程序
微軟已經(jīng)從其Windows應(yīng)用商店中刪除了8個(gè)應(yīng)用程序，這些應(yīng)用程序是在用戶不知情的情況下挖掘Monero加密貨幣的。
今年1月，賽門鐵克的安全研究人員在微軟應(yīng)用商店中發(fā)現(xiàn)了密碼挖掘應(yīng)用程序，但它們于2018年4月至12月在商店中發(fā)布。目前還不清楚有多少用戶下載或安裝了這些應(yīng)用程序，但他們的用戶評級(jí)接近1900。
這些流氓應(yīng)用程序構(gòu)成了瀏覽器、搜索引擎、YouTube視頻下載器、VPN和計(jì)算機(jī)優(yōu)化教程，由三個(gè)開發(fā)人員帳戶Digidream、1Clean和Findoo上傳。然而，賽門鐵克的研究人員認(rèn)為這些應(yīng)用程序是由一個(gè)人或同一組攻擊者創(chuàng)建的，因?yàn)樗麄冊诤蠖斯蚕硐嗤�的源域�?br />
賽門鐵克的研究人員在周五的一份報(bào)告中說：“一旦這些應(yīng)用被下載并發(fā)布，他們就會(huì)通過在他們的域服務(wù)器上觸發(fā)谷歌標(biāo)簽管理器（GTM）來獲取一個(gè)硬幣挖掘的javascript庫�！比缓螅�挖掘腳本被激活，并開始使用計(jì)算機(jī)的大部分CPU周期為操作員挖掘Monero。盡管這些應(yīng)用程序似乎提供了隱私政策，但在應(yīng)用程序商店的描述中沒有提到硬幣挖掘�！�
這些程序被發(fā)布為漸進(jìn)式Web應(yīng)用程序（PWA），這是一種可以作為網(wǎng)頁工作，但也可以通過API訪問計(jì)算機(jī)硬件的應(yīng)用程序，可以發(fā)送推送通知，使用脫機(jī)存儲(chǔ)，其行為與本機(jī)程序非常相似。在Windows10下，這些應(yīng)用程序獨(dú)立于瀏覽器運(yùn)行，在一個(gè)名為wwahost.exe的獨(dú)立進(jìn)程下運(yùn)行。
當(dāng)執(zhí)行時(shí)，應(yīng)用程序調(diào)用GTM，這是一個(gè)合法的服務(wù)，允許開發(fā)人員動(dòng)態(tài)地將JavaScript注入到他們的應(yīng)用程序中。所有應(yīng)用程序都使用相同的唯一GTM密鑰，這進(jìn)一步表明它們是由同一個(gè)開發(fā)人員創(chuàng)建的。
應(yīng)用程序加載的腳本是coinhive的一個(gè)變種，coinhive是一個(gè)基于網(wǎng)絡(luò)的加密貨幣礦工，過去被攻擊者用來感染網(wǎng)站和劫持訪問者的CPU資源。
賽門鐵克的研究人員說：“我們已經(jīng)將這些應(yīng)用程序的行為告知了微軟和谷歌�！蔽④浺呀�(jīng)從他們的應(yīng)用商店中刪除了這些應(yīng)用程序。挖掘JavaScript也已從Google標(biāo)記管理器中刪除�！�
這一事件表明，加密貨幣開采仍然是網(wǎng)絡(luò)犯罪分子的高度關(guān)注。無論是在數(shù)據(jù)中心劫持個(gè)人電腦或服務(wù)器，他們總是在尋找新的部署方式。
在過去的兩年里，攻擊者通過谷歌Play上托管的Android應(yīng)用程序、谷歌Chrome和Mozilla Firefox的瀏覽器擴(kuò)展、常規(guī)桌面應(yīng)用程序、受攻擊的網(wǎng)站以及現(xiàn)在的Windows 10 PWA發(fā)起了聯(lián)合攻擊。還有許多僵尸網(wǎng)絡(luò)利用流行的Web應(yīng)用程序和平臺(tái)中的漏洞，利用加密貨幣挖掘程序感染Linux和Windows服務(wù)器。
通常建議用戶僅從可信來源下載應(yīng)用程序，無論是在移動(dòng)設(shè)備或計(jì)算機(jī)上。然而，隨著流氓應(yīng)用程序頻繁進(jìn)入官方應(yīng)用程序商店，僅僅依靠這些建議進(jìn)行保護(hù)已不再是一種選擇。