최고의 암호화폐 관련 정보를 이메일로 받아보세요.
- 연구원들은 3,500개 이상의 웹사이트가 사용자 동의 없이 모네로를 채굴하는 은밀한 자바스크립트 악성코드에 의해 감염되었다고 보고했습니다.
- 이 악성 프로그램은 탐지를 회피하고 지속적으로 CPU 성능을 고갈시키기 위해 난독화된 코드, 웹 워커 및 웹소켓 연결을 사용합니다.
- 크립토재킹 공격자들은 공급망 및dent증명 기반 침해를 통해 워드프레스 사이트와 USAID를 포함한 정부 기관도 표적으로 삼습니다.
크립토재킹 공격이 다시 기승을 부리고 있습니다. 3,500개 이상의 웹사이트가 해킹당했으며, 사용자의 브라우저를 몰래 장악하여 모네로(Monero)를 채굴하고 있습니다. 이 공격은 사이버 보안 회사인 c/side에 의해 화요일에 발견되었는데, 이는 2017년부터 이 공격 방식을 널리 퍼뜨린 후 폐쇄된 서비스인 코인하이브(Coinhive) 이후 거의 7년 만입니다.
c/side 연구원들에 따르면, 해당 악성코드는 난독화된 자바스크립트 코드에 숨겨져 있으며, 사용자가 감염된 사이트를 방문할 때 조용히 채굴 프로그램을 실행합니다. 방문자가 감염된 페이지에 접속하면, 해당 스크립트는 사용자의 동의 없이 기기의 컴퓨팅 성능을 평가합니다. 그런 다음 사용자의 동의 없이 백그라운드에서 웹 워커를 병렬로 실행하여 채굴 작업을 수행합니다.
채굴 프로그램은 프로세서 사용량을 제한하고 웹소켓 스트림을 통해 통신을 라우팅함으로써 탐지를 피하고 일반 브라우저 트래픽 뒤에 숨습니다. c/side 분석가들은 "목표는 마치 디지털 뱀파이어처럼 시간이 지남에 따라 지속적으로 리소스를 빼내는 것"이라고 설명했습니다.
크립토재킹 코드 작동 방식
c/side는 코드를 발견했습니다. https://www.yobox[.]store/karma/karma.js?karma=bs?nosaj=faster.mo에서 로드된 타사 JavaScript 파일을 통해 웹사이트에 삽입된 모네로를 , 먼저 사용자의 브라우저가 높은 처리 능력을 요구하는 애플리케이션 실행을 위한 표준인 WebAssembly를 지원하는지 확인합니다.
해당 코드는 기기가 채굴에 적합한지 판단한 후, "워시(worcy)"라고 불리는 백그라운드 웹 워커를 실행하여 채굴 작업을 조용히 처리하고 메인 브라우저 스레드를 방해하지 않도록 합니다. 명령 및 채굴 강도 수준은 웹소켓 연결을 통해 명령 및 제어(C2) 서버에서 전달됩니다.
해당 자바스크립트 마이너의 호스팅 도메인은 이전에 결제 카드 정보를 탈취하는 것으로 악명 높은 Magecart 캠페인과 연관된 적이 있습니다. 이는 현재 캠페인을 벌이는 집단이 사이버 범죄 전력이 있을 가능성을 시사합니다.
웹사이트 취약점을 통해 위협이 확산됩니다
최근 몇 주 동안 사이버 보안 전문가들은 워드프레스로 운영되는 웹사이트에 대한 여러 건의 클라이언트 측 공격을 발견했습니다. 연구원들은 악성 자바스크립트 또는 PHP 코드를 워드프레스 사이트에 삽입하는 감염 방식을 확인했습니다.
공격자들이 "accounts.google.com/o/oauth2/revoke"와 같은 URL에 연결된 콜백 매개변수에 JavaScript를 삽입하여 Google의 OAuth 시스템을 악용하기 시작했습니다. 이 리디렉션은 브라우저를 숨겨진 JavaScript 페이로드를 통해 이동시켜 악의적인 공격자의 서버와 WebSocket 연결을 설정합니다.
또 다른 방법은 스크립트를 , 이 스크립트는 wp_options 및 wp_posts와 같은 WordPress 데이터베이스 테이블에 직접 삽입됩니다. 이 스크립트는 사용자를 200개 이상의 스팸 도메인으로 조용히 리디렉션합니다.
다른 방법으로는 워드프레스의 wp-settings.php 파일을 수정하여 원격 서버에 저장된 ZIP 압축 파일에서 악성 코드를 가져오는 방식이 있습니다. 이러한 스크립트가 활성화되면 사이트의 SEO 순위를 조작하고 사기 웹사이트의 가시성을 높이기 위한 콘텐츠를 추가합니다.
한 사례에서는 테마의 푸터 PHP 스크립트에 악성 코드가 삽입되어 브라우저가 사용자를 악성 웹사이트로 리디렉션했습니다. 또 다른 사례에서는 감염된 도메인의 이름을 딴 가짜 워드프레스 플러그인이 검색 엔진 크롤러가 페이지를 방문하는 시점을 감지했습니다. 그런 다음 해당 플러그인은 검색 엔진 순위를 조작하기 위해 스팸 콘텐츠를 게시했지만, 사람 방문자에게는 여전히 보이지 않았습니다.
C 측에서는 Gravity Forms 플러그인 버전 2.9.11.1과 2.9.12가 공급망 공격을 통해 공식 플러그인 사이트를 통해 변조되어 배포되었다고 언급했습니다. 변조된 버전은 외부 서버에 접속하여 추가 페이로드를 가져오고 WordPress 사이트.
2024년 가을, 미국 국제개발처(USAID)는 마이크로소프트로부터 경고를 받은 . 공격자들은 무차별 대입 공격(password spray attack)을 사용하여 시스템에 접근한 후, USAID의 Azure 클라우드 인프라를 통해 암호화폐 채굴 작업을 위한 두 번째 계정을 생성했습니다.
암호화폐 분야의 최고 전문가들이 이미 저희 뉴스레터를 구독하고 있습니다. 함께하고 싶으신가요? 지금 바로 참여하세요.
면책 조항: 제공된 정보는 투자 조언이 아닙니다. Cryptopolitan이 페이지에 제공된 정보를 바탕으로 이루어진 투자에 대해 어떠한 책임도 지지 않습니다.trondentdentdentdentdentdentdentdent .
화폐 속성 강좌
- 어떤 암호화폐로 돈을 벌 수 있을까요?
- 지갑으로 보안을 강화하는 방법 (그리고 실제로 사용할 만한 지갑은 무엇일까요?)
- 전문가들이 사용하는 잘 알려지지 않은 투자 전략
- 암호화폐 투자 시작하는 방법 (어떤 거래소를 사용해야 하는지, 어떤 암호화폐를 사는 것이 가장 좋은지 등)