Nul
Een hacker (of hackers group) heeft meer dan 200 Bitcoin (circa 750.000 dollar op de huidige exchange) met behulp van een slimme aanval op de infrastructuur van het Elektrum Bitcoin wallet.
De aanval resulteerde in legitieme Elektrum portemonnee apps tonen van een bericht op de computers van gebruikers, dat hen aanspoort tot het downloaden van een kwaadaardig portemonnee update van een onbevoegde GitHub repository.
De aanval begon vorige week vrijdag, 21 December, en lijkt te zijn tijdelijk gestopt eerder vandaag na GitHub admins namen de hacker GitHub repository.
Ook: Hacker steelt 10 jaar ter waarde van gegevens uit San Diego school district
Admins van het Elektrum portemonnee verwachten dat een nieuwe aanval snel aan de gang, met een nieuwe GitHub repo of een link naar een andere locatie downloaden helemaal.
Dit is omdat de kwetsbaarheid in het hart van deze aanvallen is gebleven, niet gecorrigeerde, zij het Elektrum portemonnee admins stappen ondernemen om het beperken van de bruikbaarheid voor de aanvaller.
Hoe de aanval werkt:
Aanvaller toegevoegd tientallen kwaadaardige servers aan het Elektrum portemonnee netwerk.Gebruikers van legitieme Elektrum portemonnee starten van een Bitcoin transactie.Als de transactie tot een van de kwaadaardige servers, deze servers antwoorden met een foutbericht dat verzoekt gebruikers om te downloaden op een portefeuille-app van een kwaadaardige website (GitHub repository).De gebruiker klikt op de link en download de kwaadaardige update.Wanneer de gebruiker opent de kwaadaardige Elektrum portemonnee, de app vraagt de gebruiker om een twee-factor authenticatie (2FA) code. Dit is een rode vlag, omdat deze 2FA codes zijn alleen nodig voor het verzenden van geld, en niet op de portemonnee opstarten.De kwaadaardige Elektrum wallet maakt gebruik van de 2FA code te stelen van de gebruiker fondsen en transfer ze naar de aanvaller Bitcoin adressen.
Het probleem hier is dat Elektrum servers zijn toegestaan om te activeren pop-ups met eigen tekst aan de binnenkant van de gebruikers portemonnee.
Eerste aanvallen waren meer effectief leek te hebben misleid meer gebruikers, omdat dan de laatste aanvallen. Dit is omdat het Elektrum portemonnee gerenderd deze server berichten als rijk opgemaakte teksten, het maken van de pop-ups lijken meer authentiek en het leveren van een kant en klaar en klikbare link naar gebruikers.
Afbeelding: SoberNight
Na het ontvangen van nieuws van de aanvallen, op het Elektrum team reageerde door in stilte het bijwerken van het Elektrum portefeuille-app, zodat deze berichten niet renderen als HTML-opmaak tekst meer.
Afbeelding: SoberNight
“We hadden niet openbaar te maken, dit [attack] tot nu toe, zo rond de tijd van het 3.3.2 vrijkomen van de aanvaller gestopt,” zei SomberNight, een ontwikkelaar een deel van het Elektrum portemonnee team. “Maar ze is nu begonnen de aanvallen weer.”
Niet alle gebruikers die het ontvangen van deze nieuwe fouten niet vinden van de mysterieuze pop-up met vervormde tekst vis. Sommige gebruikers waren meer hinder dan gewaarschuwd. Deze gebruikers handmatig knip-en plakwerk de tekst link getoond in de pop-up in hun browser en vervolgens gedownload en geïnstalleerd de bedorven Elektrum portemonnee update.
De aanval kwam er een eind aan een paar uur geleden, toen GitHub admins verwijderd van de repository met de kwaadaardige portemonnee versie.
Zoals gezegd, nieuwe aanvallen worden verwacht aan de gang te krijgen, met mogelijk een nieuwe download link. Maar het probleem hier blijft de aanvaller kwaadaardige servers.
Moet lezen
De gouverneur van californië tekenen land de eerste IoT veiligheid wet CNETIoT en de uitdagingen die tech bedrijven gezicht TechRepublic
Devs zijn momenteel op zoek naar vervanging van de mogelijkheid om te sturen aangepaste foutberichten fout-codes, die de Elektrum portemonnee zou vervolgens decoderen op de client-side en een vooraf ingestelde-bericht in plaats daarvan.
SomberNight zegt Elektrum devs hebben momenteel geïdentificeerd ten minste 33 schadelijke Elektrum servers die zijn toegevoegd aan het netwerk, maar het aantal lijkt rond de 40-50. Het is onduidelijk wat de ontwikkelaars van plan bent te doen met betrekking tot deze servers.
Afbeelding:SoberNight
Verwante artikelen:
Chinese websites zijn aangevallen voor een week via een nieuwe PHP framework bugNokia ontkent lekken interne referenties in de server snafuNew aanval onderschept toetsaanslagen via grafische librariesOver van 19.000 Oranje modems zijn lekkende WiFi credentialsWatch onderzoekers op afstand baksteen van een server door de beschadiging van de BMC en de UEFI-firmware
Verwante Onderwerpen:
Blockchain
Beveiliging TV
Data Management
CXO
Datacenters
0