가상 화폐 채굴 목적으로 일반적으로 사용자 몰래 PC에 설치하여 지속적으로 채굴 행위를 수행하는 방식에 대하여 다양한 형태로 유포되는 내용을 다루었습니다.
그런데 설치 방식이 아닌 사용자가 웹 브라우저를 이용하여 특정 사이트에 접속할 경우에만 동작하는 1회성 가상 화폐 채굴 방식이 유행하기 때문에 관련 내용을 살펴보도록 하겠습니다.
웹 브라우저의 종류와는 무관하게 특정 사이트에 접속할 경우 ESET Internet Security 보안 제품에서 특정 .js 스크립트 파일을 JS/CoinMiner.D 진단명으로 차단 여부를 묻는 것을 확인할 수 있습니다.
해당 사이트의 소스를 확인해보면 최상위 영역에 가상 화폐 채굴 목적의 스크립트가 포함되어 있는 것을 확인할 수 있으며, 이를 통해 특정 서버로부터 coin****.min.js 스크립트 파일(SHA-1 : 116cb0bd8425dee9fb6e47c6fe119fa63d1b0e29 - avast! : JS:Miner-C [Trj])을 받아오는 행위가 이루어지는 것을 알 수 있습니다.
이후 웹 브라우저 프로세스(iexplore.exe)를 확인해보면 CPU 사용량이 65% 수준을 지속적으로 유지하는 것을 확인할 수 있으며, 이 과정에서 사용자 PC에는 단순히 자바스크립트(JavaScript) 파일을 인터넷 임시 폴더에 다운로드된 상태일 뿐 프로그램 형태로 설치된 것이 아닙니다.
위와 같이 단순하게 웹 사이트 접속 과정에서 아무런 취약점(Exploit)도 없는 상태에서 다운로드되는 JavaScript 파일을 통해서 접속한 웹 브라우저를 통해 모네로(Monero) 가상 화폐를 채굴할 수 있는 기술도 존재합니다.
이런 채굴 방식은 해당 웹 사이트 관리자가 직접 추가할 수도 있지만, 외부에서 해킹을 통해 스크립트를 몰래 심은 후 사이트 방문자를 대상으로 1회성 채굴을 시도할 수 있습니다.
이런 문제로 Opera 웹 브라우저의 경우에는 위와 같은 채굴 방식을 차단할 수 있는 기능을 기본 탑재할 예정이며, 웹 브라우저 플러그인(확장 프로그램)을 통해서도 차단할 수 있도록 지원하고 있습니다.
그러므로 웹 사이트 접속 후 비정상적으로 웹 브라우저 프로세스(chrome.exe, firefox.exe, iexplore.exe, MicrosoftEdgeCP.exe, opera.exe 등)의 CPU 사용량이 지속적이고 비정상적으로 치솟는 경우에는 방문 중인 웹 사이트에서 나오시기 바랍니다.