1月17日，赛门铁克在Microsoft Store上发现了几个可能不受欢迎的应用程序（PUA），这些应用程序秘密使用受害者的CPU来挖掘加密货币。我们向Microsoft报告了这些应用程序，随后他们将这些应用程序从商店中删除。

这些应用程序包括计算机和电池优化教程、互联网搜索、网络浏览器以及视频查看和下载，它们来自三个开发人员：DigiDream，1clean和Findoo。总的来说，我们发现了来自这些开发人员的八个应用程序共享相同的危险行为。经过进一步调查，我们认为所有这些应用程序很可能是由同一个人或组织开发的。

图1.在Microsoft Store上找到的八个挖矿应用程序

用户可以通过Microsoft商店中的免费应用top列表或关键字搜索这些应用。我们发现的样本在Windows 10上运行，包括Windows 10 S。

一旦下载并启动了应用程序，他们就会通过在其域名服务器中触发Google跟踪代码管理器（GTM）来获取货币挖掘JavaScript库。然后，挖掘脚本被激活并开始使用计算机的大部分CPU来为运营商挖掘Monero。虽然这些应用提供隐私政策，但在应用商店的描述中没有提到货币挖掘。

这些应用程序于2018年4月至12月期间发布，其中大部分都是在去年年底发布的。尽管应用程序在商店中存在的时间相对较短，但仍有大量用户下载了这些应用程序。虽然我们无法获得准确的下载或安装计数，但我们可以看到这些应用程序已拥有近1,900个评级。但是，应用程序评级可能会被欺骗性地夸大，因此很难知道有多少用户真正下载了这些应用程序。

挖矿脚本

这些应用程序的域名在其应用程序清单文件中硬编码，如图2所示。

图2.“Fast-search.tk” –  Fast-search Lite应用程序的域名 – 在应用程序的清单文件中硬编码

每个应用程序启动后，将在后台静默访问域名，并使用密钥GTM-PRFLJPX触发GTM，此密钥在所有这八个应用程序中共享。

GTM是一个合法的工具，允许开发人员将JavaScript动态注入其应用程序。但是，GTM可能会被滥用以隐藏恶意或危险行为，因为存储在GTM中的JavaScript链接是https://www.googletagmanager.com/gtm.js?id={GTM ID}，并不表示该函数调用的代码。

图3. GTM脚本，应用程序访问该脚本以激活挖掘脚本

通过监控来自这些应用程序的网络流量，我们发现它们都连接到以下远程位置，这是一个加密货币挖掘JavaScript库：http：//statdynamic.com/lib/crypta.js。

然后，应用程序访问自己的GTM并激活挖掘脚本。

Crypta.js是一个加密的JavaScript库，如图4所示。

图4.加密的JavaScript库Crypta.js

解码之后，我们发现它是Coinhive库的一个版本。Coinhive是一个挖掘Monero的脚本。自从Coinhive服务于2017年9月推出以来，已有许多报道称其在网站访问者不知情的情况下被用于加密货币挖掘劫持。

我们还研究了GTM上的矿工激活码，关键源代码如图5所示。

图5. 解密后的Crypta.js

我们观察到该矿工用密钥da8c1ffb984d0c24acc5f8b966d6f218fc3ca6bda661，该密钥为Coinhive的钱包。

这些应用程序属于渐进式Web应用程序类，它们作为独立于浏览器运行的Windows 10应用程序安装在独立（WWAHost.exe进程）窗口中。

共享域名服务器

从应用程序的网络流量中，我们找到了每个应用程序的托管服务器。通过Whois查询，我们发现所有这些服务器实际上都具有相同的来源。因此，这些应用程序很可能是由使用不同域名的相同开发人员发布的。

图6.Whois查找显示应用程序的服务器具有相同的来源

我们已向微软和谷歌通报了这些应用的行为。 Microsoft已从其商店中删除了这些应用程序。挖掘货币的JavaScript库也已从Google跟踪代码管理器中删除。

缓解

采取以下预防措施，保护其免受在线威胁和风险的影响：

· 保持软件是最新版本。

· 不要从不熟悉的网站下载应用程序。

· 仅从受信任的来源安装应用程序。

· 密切关注应用程序请求的权限。

· 密切关注计算机或设备的CPU和内存使用情况。

· 安装合适的安全应用程序（如Norton或Symantec Endpoint Protection）以保护设备和数据。

· 经常备份重要数据。

保护

Symantec和Norton产品分别检测应用程序和JavaScript加密货币挖掘程序，如下所示：

· PUA.Downloader

· Miner.Jswebcoin