電腦保安公司 Symantec 早前發現,有 8 個可以在 Windows 10 作業系統使用的應用程式,原來隱藏了門羅幣(Monero, XMR)的惡意掘礦程式碼。微軟(Microsoft)事後迅速將這些應用程式從官方程式商店下架。
Symantec 是在他們的官方博客分享了這次發現。博客提到,他們早在 1 月 17 日發現事件,指出有 3 個程式開發單位,共提供 8 個會惡意掘礦的應用程式。之後,Symantec 就事件通知了微軟,微軟並且將這些程式下架,雖然至今都無法掌握微軟採取行動的日期為何。
被指會暗地裡掘取 XMR 的程式,原來都很受歡迎:它們在微軟程式商店的免費程式下載排行榜當中榜上有名。這些應用程式美其名是為了幫助用家提升電腦和電池效能,並且提供互聯網搜尋、互聯網瀏覽功能,甚至可以觀看和下載網上影片。至於涉事的開發單位分別名為 “DigiCream”、“1clean” 和 “Findoo”。當 Symantec 再深入調查時,他們傾向認為這 8 個程式其實都是由同一人,或者同一群體人士開發。
惡意程式佔用 CPU 不設上限
Symantec 說,他們見到出現狀況的作業系統,包括 Windows 10、Windows 10 S Mode,是由微軟在 2018 年 4 月至 12 月發布。當用戶下載了和安裝了涉事應用程式後,程式就會利用 Google Tag Manager(GTM)去觸發挖掘 XMR 的一連串 JavaScript 程式。當這些程式碼生效之後,用戶電腦的CPU 就會被開發單位「挾持」,協助他們 XMR 掘礦。
Symantec 職員向科技新聞媒體 ZDNet 表示,今次是第一次在微軟程式商店發現到偷掘加密貨幣的應用程式。另外,程式碼也沒有限制到挖礦程式取用 CPU 的程度,意味著掘礦程式可以佔用最多 100% 的CPU 運算時間。
相對有趣的地方是,涉事的應用程式都有提供他們的私隱政策,但是對於偷掘 XMR 的行為隻字不提。Symantec 表示現時無法估算程式的下載和安裝次數,但就留意到這些程式在應用程式商店裡總共獲得約 1900 個評價,受影響的電腦用戶數目應該超越這數字。除了通知微軟外,Symantec 也將事件通知了 Google,令 Google 也在 GTM 刪除了這些關乎挖礦的 JavaScript程式碼。
XMR 屬於匿名型加密貨幣,難以被人追查資金流向,所以被認為是黑客遙距操控他人電腦挖礦的首選。倫敦國王書院早前發表報告說,估計市場有超過百分之 4 的 XMR 是由惡意程式挖出。
【若你喜歡幣訊的內容,請輕按以下拍手鍵(可以按幾次)支持我們。】