윈도우 앱에 강제채굴 악성코드 발견
미국에 본사를 둔 소프트웨어 회사인 마이크로소프트는 사이버 보안회사 시만텍이 모네로(XMR)의 강제채굴 해킹코드를 확인한 후 공식 앱 스토어에서 8개의 윈도우 10 응용 프로그램을 삭제했다.
“스텔스 마이닝”이라고 불리우는 이 해킹 프로그램들은 소유자의 동의나 지식 없이 컴퓨터의 처리능력을 이용해 암호화폐를 겅제적으로 채굴하는 악성 프로그램이다. 시만텍에 따르면 지난 1월 17일 3명의 개발자가 출시한 8개 앱 내에서 악성 모네로 채굴 프로그램을 처음 탐지했다고 밝혔다.
시만텍이 마이크로소프트에 경고한 후, 8개의 프로그램들을 앱스토어에서 모두 제거한 것으로 보고되고 있다.
마이크로소프트 스토어의 무료 앱 리스트 중 하나로 게시된 이 어플리케이션들은 “컴퓨터 및 배터리 최적화 튜토리얼, 인터넷 검색, 웹 브라우저, 비디오 시청 및 다운로드”를 위한 앱이라고 게시되었으며 개발자 이름들은 “Digi Dream, 1 Clean, Findoo”가 발행한 것으로 알려졌다. 더 자세한 조사를 통해 시만텍은 8개의 앱 모두 사실상 다른 3개의 개발자 혹은 회사가 아닌 동일한 사람이나 그룹에 의해 개발되었을 가능성이 있다고 제안했다.
발견된 샘플은 모두 Windows 10 S를 포함한 Windows 10에서 실행되며 2018년 4월부터 12월 사이에 다양하게 게시되어 사용자들에게 다운로드된 것으로 알려졌다. 보도에 따르면 그들은 암호화폐 채굴 자바스크립트 라이브러리를 가져오기 위해 도메인 서버에서 구글 태그 관리자를 작동시키는 것으로 알려졌다. 마이닝 스크립트가 활성화되면 대상의 컴퓨터 CPU 사이클이 해킹되어 해커들를 위해 강제적으로 모네로를 채굴한다.
시만텍 관계자들은 뉴스 웹사이트 ZDNet에서 마이크로소프트 스토어에서 스텔스 마이닝이 발견된 것은 이번이 처음이라고 발표했다. 이 앱들을 설치하면 해킹프로그램이 인터넷 브라우저와는 별개로 독립 실행형(WWAHost.exe 프로세스)으로 실행된다고 발표했다.
또한 이 앱들을 분석한 결과 앱에 포함된 마이닝 맬웨어의 변종을 웹 브라우저 기반의 “코인하이브 모네로 마이닝 코드”라고 확인했다.
정확한 다운로드나 설치 통계를 결정할 수는 없었지만, 이 해킹앱이 게시될 당시 1,900개의 추천등급을 받았으나 이 등급이 실제 사용자를 정확히 반영하는지, 아니면 사기성 어뷰징을 사용했는지 여부는 확인하기 어렵다고 밝혔다.