주의: Microsoft OneDrive는 암호화 광부에 의해 하이재킹될 수 있습니다.

최근 이더리움 합병은 대부분의 광부에게 일반적으로 나쁜 소식을 가져왔습니다. 많은 사람들이 그 일이 일어나기 직전에 값비싼 GPU를 제거하느라 바빴습니다. 그러나 다른 사람들 중 일부는 값비싼 광산 장비를 구입하는 비용을 피할 수 있는 다른 방법을 고안했습니다. 그리고 악의적인 사람들은 크립토재킹을 사용하는 경향이 있습니다. 크립토재킹은 피해자의 컴퓨터나 다른 장치를 은밀하게 사용하여 크립토 코인을 채굴하는 것입니다.

이러한 최신 개발에서 바이러스 백신 제조업체인 Bitdefender는 Microsoft의 OneDrive가 공격자 그룹에서 크립토재킹 목적으로 사용되고 있음을 발견했습니다. 이 캠페인은 악용을 통해 DLL(동적 연결 라이브러리)을 가로채거나 OneDrive의 사이드로딩 취약점을 사용하여 작업을 수행했습니다. Bitdefender는 2022년 5월과 7월 사이에 캠페인을 모니터링했으며 이 기간 동안 유사한 익스플로잇을 사용한 700건 이상의 크립토재킹 사례가 발견되었습니다.

보고서에 따르면 공격자는 악의적으로 작성된 secure32.dll 파일에 의존하여 잠재적 피해자의 시스템을 감염시킵니다. %LocalAppData%\Microsoft\OneDrive\ 내부에 호스팅되어 기본 OneDrive 프로세스와 함께 로드됩니다. 보호를 위해 공격자는 OneDrive.exe 프로세스가 재부팅할 때마다 실행되도록 구성했습니다. 감염되면 가짜 secure32 DLL 파일이 피해자의 시스템에 마이닝 소프트웨어를 다운로드하는 데 사용됩니다.

Bitdefender는 다음과 같이 설명합니다.

공격자는 OneDrive 프로세스(OneDrive.exe 또는 OneDriveStandaloneUpdater.exe) 중 하나에서 로드할 권한이 없는 사용자로 %LocalAppData%\Microsoft\OneDrive\에 가짜 secure32.dll을 작성합니다.

%LocalAppData%\ Microsoft\OneDrive\OneDriveStandaloneUpdater.exe가 기본적으로 매일 실행되도록 예약되어 있기 때문에 공격자는 OneDrive dll 중 하나를 사용하여 저장을 쉽게 보호합니다.

지속성을 더욱 강력하게 만들기 위해 가짜 secure32.dll 드롭퍼는 ​​Windows 레지스트리를 사용하여 재부팅할 때마다 실행되도록 %LocalAppData%\ Microsoft\OneDrive\OneDrive.exe도 설정합니다.

OneDrive 프로세스 중 하나에 로드되면 가짜 secur32.dll이 오픈 소스 암호화폐 마이닝 소프트웨어를 다운로드하여 합법적인 Windows 프로세스에 주입합니다.

캠페인에 대한 자세한 내용은 여기 에서 원본 보고서를 참조하십시오 .