admin 发表于 2019-2-16 23:09:08

攻击者在Microsoft应用商店中放置密码劫持应用程序

攻击者在Microsoft应用商店中放置密码劫持应用程序
微软已经从其Windows应用商店中删除了8个应用程序,这些应用程序是在用户不知情的情况下挖掘Monero加密货币的。
今年1月,赛门铁克的安全研究人员在微软应用商店中发现了密码挖掘应用程序,但它们于2018年4月至12月在商店中发布。目前还不清楚有多少用户下载或安装了这些应用程序,但他们的用户评级接近1900。
这些流氓应用程序构成了浏览器、搜索引擎、YouTube视频下载器、VPN和计算机优化教程,由三个开发人员帐户Digidream、1Clean和Findoo上传。然而,赛门铁克的研究人员认为这些应用程序是由一个人或同一组攻击者创建的,因为他们在后端共享相同的源域。

赛门铁克的研究人员在周五的一份报告中说:“一旦这些应用被下载并发布,他们就会通过在他们的域服务器上触发谷歌标签管理器(GTM)来获取一个硬币挖掘的javascript库。”然后,挖掘脚本被激活,并开始使用计算机的大部分CPU周期为操作员挖掘Monero。尽管这些应用程序似乎提供了隐私政策,但在应用程序商店的描述中没有提到硬币挖掘。”
这些程序被发布为渐进式Web应用程序(PWA),这是一种可以作为网页工作,但也可以通过API访问计算机硬件的应用程序,可以发送推送通知,使用脱机存储,其行为与本机程序非常相似。在Windows10下,这些应用程序独立于浏览器运行,在一个名为wwahost.exe的独立进程下运行。
当执行时,应用程序调用GTM,这是一个合法的服务,允许开发人员动态地将JavaScript注入到他们的应用程序中。所有应用程序都使用相同的唯一GTM密钥,这进一步表明它们是由同一个开发人员创建的。
应用程序加载的脚本是coinhive的一个变种,coinhive是一个基于网络的加密货币矿工,过去被攻击者用来感染网站和劫持访问者的CPU资源。
赛门铁克的研究人员说:“我们已经将这些应用程序的行为告知了微软和谷歌。”微软已经从他们的应用商店中删除了这些应用程序。挖掘JavaScript也已从Google标记管理器中删除。”
这一事件表明,加密货币开采仍然是网络犯罪分子的高度关注。无论是在数据中心劫持个人电脑或服务器,他们总是在寻找新的部署方式。
在过去的两年里,攻击者通过谷歌Play上托管的Android应用程序、谷歌Chrome和Mozilla Firefox的浏览器扩展、常规桌面应用程序、受攻击的网站以及现在的Windows 10 PWA发起了联合攻击。还有许多僵尸网络利用流行的Web应用程序和平台中的漏洞,利用加密货币挖掘程序感染Linux和Windows服务器。
通常建议用户仅从可信来源下载应用程序,无论是在移动设备或计算机上。然而,随着流氓应用程序频繁进入官方应用程序商店,仅仅依靠这些建议进行保护已不再是一种选择。



页: [1]
查看完整版本: 攻击者在Microsoft应用商店中放置密码劫持应用程序