본문 바로가기

벌새::Analysis

사이트 접속 행위만으로 가상 화폐 채굴이 가능한 JavaScript 방식 주의 (2018.1.12)

반응형

가상 화폐 채굴 목적으로 일반적으로 사용자 몰래 PC에 설치하여 지속적으로 채굴 행위를 수행하는 방식에 대하여 다양한 형태로 유포되는 내용을 다루었습니다.

 

그런데 설치 방식이 아닌 사용자가 웹 브라우저를 이용하여 특정 사이트에 접속할 경우에만 동작하는 1회성 가상 화폐 채굴 방식이 유행하기 때문에 관련 내용을 살펴보도록 하겠습니다.

 

 

웹 브라우저의 종류와는 무관하게 특정 사이트에 접속할 경우 ESET Internet Security 보안 제품에서 특정 .js 스크립트 파일을 JS/CoinMiner.D 진단명으로 차단 여부를 묻는 것을 확인할 수 있습니다.

 

 

해당 사이트의 소스를 확인해보면 최상위 영역에 가상 화폐 채굴 목적의 스크립트가 포함되어 있는 것을 확인할 수 있으며, 이를 통해 특정 서버로부터 coin****.min.js 스크립트 파일(SHA-1 : 116cb0bd8425dee9fb6e47c6fe119fa63d1b0e29 - avast! : JS:Miner-C [Trj])을 받아오는 행위가 이루어지는 것을 알 수 있습니다.

 

 

이후 웹 브라우저 프로세스(iexplore.exe)를 확인해보면 CPU 사용량이 65% 수준을 지속적으로 유지하는 것을 확인할 수 있으며, 이 과정에서 사용자 PC에는 단순히 자바스크립트(JavaScript) 파일을 인터넷 임시 폴더에 다운로드된 상태일 뿐 프로그램 형태로 설치된 것이 아닙니다.

 

 

위와 같이 단순하게 웹 사이트 접속 과정에서 아무런 취약점(Exploit)도 없는 상태에서 다운로드되는 JavaScript 파일을 통해서 접속한 웹 브라우저를 통해 모네로(Monero) 가상 화폐를 채굴할 수 있는 기술도 존재합니다.

 

이런 채굴 방식은 해당 웹 사이트 관리자가 직접 추가할 수도 있지만, 외부에서 해킹을 통해 스크립트를 몰래 심은 후 사이트 방문자를 대상으로 1회성 채굴을 시도할 수 있습니다.

 

이런 문제로 Opera 웹 브라우저의 경우에는 위와 같은 채굴 방식을 차단할 수 있는 기능을 기본 탑재할 예정이며, 웹 브라우저 플러그인(확장 프로그램)을 통해서도 차단할 수 있도록 지원하고 있습니다.

 

그러므로 웹 사이트 접속 후 비정상적으로 웹 브라우저 프로세스(chrome.exe, firefox.exe, iexplore.exe, MicrosoftEdgeCP.exe, opera.exe 등)의 CPU 사용량이 지속적이고 비정상적으로 치솟는 경우에는 방문 중인 웹 사이트에서 나오시기 바랍니다.

728x90
반응형