В Microsoft Store нашли майнеры

Восемь приложений из магазина приложений Windows содержали вредоносные инжекты, предназначенные для запуска криптомайнера. По мнению ИБ-специалистов компании Symantec, которые обнаружили программы, все они созданы одним автором или криминальной группой. Получив информацию от исследователей, модераторы удалили проблемные утилиты из хранилища.

В сферу внимания аналитиков попали программы, разработанные компаниями Findoo, DigiDream и 1clean. Они были предназначены для работы в среде Windows 10 и могли быть запущены в S-режиме, допускающем выполнение только утилит, загруженных из Microsoft Store.

Как выяснили исследователи, код майнера размещался на внешнем сервере и активировался через Диспетчер тегов Google (Google Tag Manager, GTM) — легитимный сервис, предназначенный для управления метками систем веб-аналитики. Он позволяет внедрять в код программы сторонний сценарий через метку, ссылающуюся на собственный центральный сервер. Такая инъекция воспринимается защитными сканерами как безопасная, однако допускает дальнейшее обращение к другим ресурсам, в том числе вредоносным.

Программы запускали на устройстве вариант JavaScript-майнера Coinhive, хотя эта функциональность не заявлена разработчиками. Coinhive является одной из самых распространенных программ для скрытной добычи Monero — по данным декабрьского рейтинга компании Check Point, он занял первое место в списке актуальных киберугроз. Ученые Рейнско-Вестфальского технического университета Ахена считают, что суммарный ежемесячный объем криптовалюты, добываемой при помощи Coinhive, составляет не менее $250 тыс.

Как отмечают ИБ-аналитики, потенциально опасные Windows-приложения вызывали скрипт, не имеющий ограничений на использование ресурсов процессора. После запуска майнер захватывал все доступные вычислительные мощности компьютера и существенно замедлял его работу.

Проведя анализ трафика, исследователи установили, что серверы злоумышленников размещены на одном и том же хостинге, а их имена зарегистрированы в национальных доменных зонах Габона и Токелау. Программы появились в Microsoft Store в апреле — декабре прошлого года, однако сервис не предоставляет информации о том, сколько пользователей установили эти приложения. В данный момент они удалены из магазина Windows, а скрипты, которые они использовали, — из хранилища GTM.

Источник: https://threatpost.ru/coinhive-injects-in-malicious-apps-microsoft-store/31207/