資安業者在Microsoft Store發現8款程式暗藏挖礦功能
賽門鐵克(Symantec)在今年1月於微軟官方程式市集Microsoft Store中發現了8款程式,這些看似正常的合法程式卻藏有挖礦機制,可利用使用者的電腦資源來開採門羅幣(Monero)。
這些程式涵蓋了網路搜尋程式Fast-search Lite、電池最佳化程式Battery Optimizer、VPN瀏覽程式VPN Browser+、YouTube影片下載程式Downloader for YouTube Videos、工具程式Clean Master+、線上影片觀賞程式FastTube、輕量瀏覽器Findoo Browser 2019,及桌面搜尋工具Findoo Mobile & Desktop Search。
賽門鐵克指出,雖然名義上這8款程式是由3名不同的開發人員所提交,但進一步調查後發現代管這些程式的伺服器都是由同一個人或集團所申請,顯示系出同源。
這些程式可在Windows 10上執行,安裝後它們會自網域伺服器中的Google Tag Manager汲取挖礦的JavaScript函式庫,這些挖礦腳本程式便會利用電腦上的CPU資源來開採門羅幣,且在程式的描述中完全未提及挖礦功能。
當中較有趣的部份是駭客利用了Google Tag Manager。Google Tag Manager是Google所建立的標籤管理系統,主要協助開發人員於程式中注入可用來追蹤或分析的JavaScript及HTML內容,卻遭到駭客的濫用。
上述程式都是在去年的4月到12月間上架的,賽門鐵克無從得知它們的安裝數量,僅知總計有1,900則評論。
Google及微軟在收到賽門鐵克的通知之後,已分別自Google Tag Manager及Microsoft Store移除了相關的JavaScript與程式。
Windows Store 也不平靜,Symantec 發現 8 款偷挖虛擬加密貨幣的應用程式
自從 Coinhive 等網頁、線上挖礦等技術開展以來,不少電腦都成為花費處理器資源替人挖礦的白工。線上網頁挖礦並非壞事,而是免費網站賴以為生的生存方式之一,如同廣告一般的存在,但重點為是否達到資訊揭露,偷偷摸摸硬著幹並不受人歡迎。
加密貨幣挖礦從去年以來熱潮不斷衰減,但依舊是地下經濟相當倚賴的交易媒介之一,特別是類似 Coinhive 等利用 JacaScript 的方式,使用者只要利用網頁瀏覽器上網即可透過處理器資源進行挖礦作業,也成為不少免費網站除了廣告之外,另一種賴以為生的方式。與廣告不同的是,一般使用者很難去辨別網站是否暗藏挖礦程式,因此明顯的資訊揭露如讀我、終端使用者協議等必須揭露。
在相關線上「被挖礦」事件陸續傳出之後,網際網路安全技術廠商 Symantec,也在 Windows 10 和 Windows 10 S 內部的 Windows Store 應用程式市集,找到 8 款暗藏挖礦動作的程式,均利用 Google Tag Manager 方式向該程式的網域伺服器,下載具備挖礦能力的 JavaScript。經過 Symantec 專家解碼加密後的 http://statdynamic.com/lib/crypta.js,確認該程式碼採用 Coinhive 其中 1 個版本的程式庫,而 Coinhive 專門用來挖掘 Monero 門羅幣(XMR),特點為注重交易的隱密性。
經過深入研究,Symantec 發現雖然這幾個應用程式發行商和網域名均不相同,但透過 Whois 查詢之後,Domain Name Server 均為 domaincontrol.com,因此研判開發者均為同一人或是同一組織,偽裝成最佳化程式、網路影片下載器、網頁瀏覽器等常用程式吸引使用者下載,且均未在程式的說明或是隱私權條款當中揭露此挖礦行為。
Symantec 目前已通報 Google 與 Microsoft,雙方均已把可疑的程式碼與程式下架,但是此例一開也給予惡意人士新方向,除了直接瀏覽網頁注入 JavaScript 幫忙挖礦之外,Windows Store 應用程式市集也能夠採用類似的手法達成挖礦目的,筆者在此也只能提醒使用者慎選安裝程式,按下「下一步」之前敬請確認再三,應用程式來源與開發商是否值得你信任。
