Хакеры обчистили владельцев самой криминализированной криптовалюты
В течение непродолжительного времени с официального сайта TheMoneroProject скачивались исполняемые файлы, инфицированные троянцем для кражи криптовалют. Пострадали пользователи Linux. Известно и о варианте того же вредоноса под Windows.
Большой куш
Администраторы Monero Project, проекта самой криминализированной криптовалюты Monero расследуют инцидент с возможной компрометацией ее официального сайта. В бинарных файлах под 64-битные версии Linux, размещавшихся на официальном ресурсе проекта getmonero.org, обнаружился троянец, предназначенный для кражи криптовалюты.
Информацию об этом подтвердили сразу несколько источников. Согласно публикациям в GitHub, Reddit и Twitter, в течение 30 с небольшим минут с официального сайта на пользовательские машины скачивались бинарники с некорректными хэшами.
Эксперт по безопасности, сотрудничающий с Monero, в итоге сообщил об обнаружении в этих бинарных файлах троянца, крадущего криптовалюту. Другой пользователь получил подтверждение этому эмпирически: через девять часов после запуска исполняемого файла, скачанного с официального сайта как раз в период предполагаемой компрометации, все его накопления Monero были выведены одной транзакцией.
Сейчас пострадавший пользователь пытается провести анализ вредоноса и понять, ограничивается ли его функциональность возможностью красть криптовалюту или он может делать что-то еще.
Не только под Linux
Позднее эксперт по безопасности PwC Барт Пэрис (Bart Parys) исследовал скомпрометированные файлы и подтвердил наличие в них троянца, крадущего криптовалюту. Ему также удалось найти контрольный сервер злоумышленников и выкачать с него вполне рабочий вариант для Windows. Пэрис заодно опубликовал индикаторы компрометации и описал, как можно обнаружить признаки троянца в сетевом трафике.
Хотя, по имеющейся к настоящему моменту информации, пострадали только пользователи криптокошельков под Linux, создатели Monero Project настоятельно рекомендуют проверить хэши также и пользователям Windows и macOS. Корректные хэши опубликованы на сайте проекта.
«У Monero сложилась весьма своеобразная репутация, — говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Именно эта криптовалюта чаще всего упоминается в контексте киберкриминала, что в целом означает наличие у злоумышленников крайне высокого интереса добраться до базовой инфраструктуры криптовалюты. Даже кратковременная компрометация официального сайта Monero Project означает довольно крупный заработок для киберзлоумышленников. Достаточно обчистить двух-трех пользователей, случайно скачавших не те бинарные файлы».