본문 바로가기

벌새::Analysis

티스토리 블로그 접속 시 당신의 컴퓨터 CPU 작업 사용을 요청하는 사례 (2018.6.1)

반응형

최근에 관리가 부실한 특정 티스토리(Tistory) 블로그에 접속할 경우 "○○○.tistory.com 에서 당신의 컴퓨터 CPU를 작업에 사용하길 요청합니다." 메시지가 뜨는 경우가 있는 것이 확인되었습니다.

 

 

표시된 메시지는 한글 또는 영어로 표시될 수 있으며 하단에는 희미한 문구로 "powered by coinhive"라는 서비스 이름이 포함되어 있습니다.

 

내용에는 "당신의 컴퓨터 CPU를 작업에 사용하길 허용함에 따라, ○○○.tistory.com 를 지원할 수 있습니다. CPU를 통한 작업은 브라우저의 안전한 장치안에서 이루어지며, 아무것도 설치할 필요가 없습니다."라고 적혀 있습니다.

 

 올해 초에 이미 한 번 소개한 방식으로 웹 브라우저를 이용하여 특정 사이트 접속 시에 아무런 메시지없이 JavaScript를 로딩하여 암호 화폐를 채굴할 수 있다고 하였습니다.

 

이번의 경우에도 동일하게 채굴 목적의 스크립트 실행을 하는 행위는 동일하지만 사용자 동의를 얻는 옵트인(Opt-in) 방식을 적용한 부분이 차이점이 있습니다.

 

 

해당 티스토리 블로그 소스를 확인해보면 Authedmine 서버에서 자바스크립트(JavaScript)를 받아오도록 설정된 부분을 발견할 수 있으며, 해당 채굴은 Coinhive에서 제공하는 기반으로 운영되는 것 같습니다.

 

 

스크립트 내부를 확인해보면 Monero 암호 화폐 채굴을 시도하며 백신 프로그램의 탐지 우회 목적으로 난독화를 한 상태임을 밝히고 있습니다.

 

참고로 해당 authedmine.min.js (SHA-1 : 5d5fe91d3a1bfc3ba248264da5693a1f9f4d6f98) 파일에 대하여 JS/CoinMiner.F (ESET), JS.Webcoinminer (Norton) 진단명으로 탐지할 수 있습니다.

 

만약 사용자가 해당 메시지에서 거절할 경우 스크립트 다운로드가 이루어지지 않기 때문에 채굴 기능은 동작하지 않겠지만, 실제 메시지에서 암호 화폐 채굴 기능에 대한 언급이 없다는 점에서 사용자가 무심코 허용할 경우 웹 브라우저를 종료하지 않는 동안 지속적으로 CPU 작업이 이루어질 수 있습니다.

 

그러므로 사이트 방문 외에도 블로그 방문 시 위와 같은 메시지가 뜨는 경우에는 되도록이면 접속을 종료하시고, CPU 사용량이 치솟을 경우에는 잠시 실행 중인 웹 브라우저 전체를 종료하는 방법으로 해결하시기 바랍니다.

728x90
반응형