Хакер #305. Многошаговые SQL-инъекции
Специалисты компании Symantec обнаружили в официальном Microsoft Store сразу восемь приложений для Windows 10, добывающих криптовалюту Monero за спиной пользователей. В настоящее время все они удалены из каталога: Fast-search Lite, Battery Optimizer (Tutorials), VPN Browsers+, Downloader for YouTube Videos, Clean Master+ (Tutorials), FastTube, Findoo Browser 2019, а также Findoo Mobile & Desktop Search.
Хотя эти продукты были созданы тремя разными разработчиками (DigiDream, 1clean и Findoo), исследователи пришли к выводу, что все восемь приложений были делом рук одного человека или группы людей. На это указывают сходство исходных кодов и одинаковые домены, использовавшиеся для разных продуктов.
По данным экспертов, все приложения работали по одной схеме: содержали библиотеку Google Tag Manager (GTM) внутри своих исходных кодов, чтобы позже с ее помощью скачать и выполнить пейлод майнинговой малвари.
Пейлоадом выступала «пиратская» версия известного криптоджекингового решения Coinhive (JavaScript, который владельцы многих сайтов или хакеры добавляют на страницы ресурсов, чтобы при открытии веб-страницы браузер посетителя добывал криптовалюту).
Аналитики Symantec объясняют, что приложения подпадали под категорию Progressive Web Applications, то есть работали в Windows 10 независимо от браузера, используя отдельный процесс (WWAHost.exe), что и позволяло запускать скрипт Coinhive на машинах жертв. Хуже того, майнер был настроен таким образом, что поглощал 100% ресурсов CPU, то есть после открытия приложения майнер «съедал» все свободные мощности процессора.
Так как в Microsoft Store нет счетчиков количества установок, исследователи не знают, сколько пользователей могли пострадать от замаскированных майнеров. Однако исследователи отмечают, что у вредоносных приложений были тысячи отзывов, что свидетельствует о немалой популярности. Впрочем, отзывы могли быть и фальшивыми, а операторы малвари просто пытались таком образом продвинуть свои продукты.