微软已经从微软官方商店(Micros of t Store)的8个Windows10应用程序中撤下,这些应用程序被发现在用户背后挖掘Monero加密货币,以造福于应用程序的开发人员。
这八个应用程序的名称是快速搜索Lite、电池优化器(教程)、VPN浏览器、YouTube视频下载器、清洁大师(教程)、FastTube、FindooBrowser2019和FindooMobile&;Desktop搜索。
这些应用程序由三个开发人员开发,即DigiDream、1Clean和Findoo。上个月发现了这些恶意应用程序的美国网络安全公司赛门铁克(Symantec)表示,他们在应用程序的源代码和相邻域名中发现的证据使他们相信,所有八个应用程序都是由同一个人或同一个集团开发的,尽管名称不同。
根据与ZDNet共享的赛门铁克技术报告,所有应用程序都以类似的方式工作。所有人都在他们的源代码中加载了GoogleTagManager(GTM)库,他们后来通过该库下载并执行了实际的恶意有效负载。
这段最后阶段的代码是臭名昭著的Coinhive的盗版版本,这是一个JavaScript库,许多黑客在被黑客入侵的网站上秘密添加了该库,以使用访问者的浏览器挖掘Monero。
除了被黑客攻击的网站外,该库还被用于任何可以执行JavaScript代码的应用程序,如游戏MODS、Android和iOS应用程序,以及现在的Windows10应用程序。赛门铁克告诉ZDNet,这标志着微软商店首次发现了这类应用程序。
赛门铁克专家在报告中说:“这些应用程序属于Progressive Web应用程序的范畴,它们是作为一个独立于浏览器运行的Windows10应用程序安装在一个独立的窗口(WW AHost.exe进程)中。”
赛门铁克高级首席软件工程师Tommy Dong告诉ZDNet:“检测到一个带有挖掘脚本的恶意URL,我们回溯寻找这些应用程序。“赛门铁克AV可以判定基于JS的通用加密货币挖掘不考虑任何领域。”
在过去几个月里安装了这些应用程序的用户会看到他们的CPU使用率通过屋顶,因为Coinhive矿工将消耗所有可用的资源为应用程序开发人员挖掘Monero。
“没有节流意味着它占用了用户100%的CPU时间。打开这个应用程序会导致CPU使用率出现可检测的峰值。
由于微软商店没有列出安装计数统计数据,因此不可能说出有多少用户受到影响,然而,赛门铁克指出,这些应用程序有数千个评论,这表明它们有点受欢迎-尽管这也不可能是非常准确的,因为在微软商店上有销售假评论的在线服务。
这些应用程序通常被安全研究人员称为加密劫机应用程序或加密者。加密,是一个与网络安全相关的术语,用来描述在用户背后挖掘加密货币的实践。
由于2017年年中发生的加密货币价格突然上涨,加密劫持(最初是在浏览器内进行的,后来是在服务器上使用专用软件)是当今最普遍的网络犯罪形式之一,一些集团赚取了数百万美元的利润。