Coinhive Cryptojacker Deployed on YouTube via Google Ads
쓸데없이 똑똑한 몇몇 사기꾼들(Crook)이 구글 더블클릭 광고 배포 플랫폼을 통해 배포되는 광고 내부에 코인하이브(Coinhive) 인-브라우저(in-browser) 채굴기를 넣어 배포하는 방법을 알아냈다고 합니다.
이런 방법으로 셀 수 없이 수많은 사이트에 광고를 내보냈으며, 심지어 구글이 가지고 있는 유튜브에도 그 악마의 손길이 닿았습니다.
백신 업체 트렌드마이크로는 이런 사기꾼들이 1월 18일 경부터 코인하이브 인-브라우저 채굴기를 배포하기 위해 구글의 더블클릭 플랫폼을 악용하기 시작했다고 보고하였습니다. 특히 1월 23일에 최고조에 다달았다고 합니다.
(이미지 출처 : https://www.bleepingcomputer.com/news/security/coinhive-cryptojacker-deployed-on-youtube-via-google-ads/ )
위 차트는 구글 더블크릭을 악용한 악성 광고의 코인하이브 탐지 결과를 보여주고 있습니다.
사기꾼들이 1월 23일에 유튜브에서 코인하이브를 배포
위 차트에서 가장 큰 상승폭은 사기꾼들이 코인하이브로 더럽혀진 광고를 세계에서 가장 큰 비디오 호스팅 플랫폼인 유튜브에 배포하기로 한 순간을 나타내고 있습니다.
동영상 페이지에 표시된 수많은 광고 중 하나에 숨겨진 악성 자바스크립트 코드를 제외하고는 코인하이브가 로딩조차 할 수 없었던 장소가 바로 유튜브였는데, 이제는 수많은 백신 제품이 유튜브를 방문하는 사용자의 PC에서 코인하이브 크립토재커(cryptojacker)를 탐지하기 시작했다고 합니다.
코인하이브 서비스는 지난 9월 쯤 모습을 드러냈으며, 스스로를 기존 온라인 광고의 대안으로 사용할 수 있는 웹사이트 수익 창출 서비스라고 설명했습니다. 코인하이브 서비스는 자바스크립트 코드를 사용하여 웹사이트 방문자들의 웹브라우저를 통해 모네로 가상화폐를 채굴합니다.
코인하이브 서비스는 좋은 의도에도 불구하고, 해킹된 사이트, 악성 광고, 데스크탑 앱 및 게임 모드, 자바스크립트 코드를 실행할 수 있는 장소에서 코인하이브 인-브라우저 채굴기를 돌리는 사기꾼들에 의해 악용되고 있습니다.
코인하이브의 첫 성공 이후, 수많은 유사 서비스가 온라인에 생겨났습니다. 이런 서비스들은 웹사이트 방문자의 PC를 몰래 사용하여 가상화폐 웹사이트 소유자의 채굴량을 일부 가져가는 방식으로 운영되고 있습니다.
웹브라우저나 자바스크립트가 가능한 앱에서 자바스크립트 채굴기를 몰래 돌리는 방법을 흔히 크립토재킹(cryptojacking) 또는 드라이브-바이-마이닝(drive-by-mining)이라고 부르고 있습니다.
현재, 광고 차단기, 자바스크립트 차단 웹브라우저 확장 기능, 그리고 백신 제품만이 크립토재킹 스크립트를 막는데 효과적인 것으로 증명되었습니다.
개인적으로는 크롬과 파이어폭스에서 'No Coin'이라는 확장 기능을 사용하고 있습니다.
<참고>
'IT & Security > 웹브라우저' 카테고리의 다른 글
| Adobe Flash Player 28.0.0.161 업데이트 (0) | 2018.02.06 |
|---|---|
| 안드로이드 악성 채굴 봇넷과 가짜 플래시 업데이트 사이트 (0) | 2018.02.06 |
| 토르 브라우저(Tor Browser) 7.5 업데이트 (0) | 2018.01.27 |
| 파이어폭스(Firefox) 58.0 업데이트 (2) | 2018.01.27 |
| 크롬(Chrome) 64.0.3282.119 업데이트 (0) | 2018.01.25 |