EKSKLUSIVE –Hackere har kompromitteret GitHub konto af Denarius cryptocurrency projektleder og har backdoored Windows-klient med AZORult infostealer malware.
Den kompromitterede Denarius cryptocurrency klient –som node operatører, der kører på deres servere til at støtte Denarius blokkæden– blev opdaget tidligere i dag af en sikkerheds-forsker ved navn Misterch0c, der alarmerede ZDNet.
ZDNet uafhængigt bekræftet forskerens resultater med hjælp af RiskIQ trussel forsker Yonathan Klijnsma.
Carsen Klock, top dev bag Denarius cryptocurrency, sagde den hændelse opstod, fordi han genbruges en ældre adgangskode for at sikre hans GitHub konto.
Dette gjorde det muligt for en hacker at stille adgang hans GitHub konto og uploade en backdoored version af Denarius Vindue klient-version 3.3.6, udgivet den januar 22.
Ifølge Misterch0c og Klijnsma, denne fil (VirusTotal link) var en modificeret Denarius klient-installatør, der har installeret en version af AZORult malware.
“Den .bat-fil er i gang, som vil starte de andre bakker i rækkefølge, og med mindre man er AZORult,” Klijnsma sagde, efter at have analyseret backdoored Denarius installer.
Billede: Yonathan Klijnsma
Når det er installeret på en brugers computer, AZORult kan stjæle en bred vifte af brugerdata, såsom browser, adgangskoder, cookies, adgangskoder til FTP-klienter, chat-historie, og vigtigst af alt, tegnebog database filer fra populære cryptocurrency kunder.
Misterch0c fortalte ZDNet, at alle de data, der er indsamlet fra inficerede brugere vil så blive sendt til en kommando og kontrol (C&C), der ligger i 51.15.243.101.
Efter at have kigget IP-adresse i RiskIQ enorme database med historiske threat intelligence data, Klijnsma fortalte ZDNet, at 51.15.243.101 havde hostet en AZORult kontrolpanel siden juli 2018.
Billede: Yonathan Klijnsma
En anden sikkerhedsekspert, der formåede at få adgang til malware C&C server hævdede backdoored Denarius installer inficeret nogenlunde 3,200 brugere.
Azo 3.3 panel fra denarius hack @carsenjk @MisterCh0c 3200 records, bad… pic.twitter.com/Pf68KoIZ41
— pя$ёcцяїтч_ (@prsecurity_) 5 februar 2019
Ifølge Misterch0c, denne IP-adresse blev også knyttet til andre malware prøver, alle, der syntes at være backdoored cryptocurrency software, og alle, der meddeles med det samme domæne.
Wow… jeg tror, det er større end jeg troede. Kig på alle disse shitcoins wallets, der var i fare… pic.twitter.com/gim2mkeXYU
— 𝙈𝙞𝙨𝙩𝙚𝙧𝙘𝙝0𝙘 (@MisterCh0c) 5 Februar 2019
Dette synes at være en meget velorganiseret hacking spree, at målrettet cryptocurrency aficionados af backdooring cyrptocurrency node kunder og tegnebog apps.
En af de lad os starte inkluderet i Misterch0c ‘ s liste er New York Mønt (NYC), som er optaget for to uger siden, at en 51% angreb udført i oktober var sandsynligvis forårsaget af malware, der var gledet ind i sin tegnebøger, før de angreb.
New York Mønt 51% angreb resulterede i, at hackere at tage kontrol over mere end halvdelen af alle NYC blokkæden knudepunkter og ved hjælp af denne overlegne holdning til spørgsmålet, og straks bekræfte ulovlige transaktioner, der siphoned NYC mønter fra tegnebøger Handel Satoshi cryptocurrency udveksling. Handel Satoshi senere afnoteret New York Mønt fra sit indeks, efter dette angreb.
Efter at have kontaktet af ZDNet og Misterch0c, Klock, den vigtigste Denarius dev, fjernet backdoored Windows klient fra den valuta officielle GitHub angreb, før denne artikel blev offentliggjort. I skrivende stund har der ikke været nogen 51% angreb mod Denarius blokkæden.
Ikke desto mindre, fordi AZORult er sådan en påtrængende trussel, der kan samle alle former for data, såsom adgangskoder, cookies, og tegnebog filer, dette betyder ikke, at hacker-gruppen bag denne hacking amok handlet på samme måde efter hver kompromitteret cryptocurrency software klient.
I mange tilfælde, måske de har været tilfredse med at tømme ud af tegnebøger af brugere, som har installeret nogen af de andre backdoored kunder, snarere end at tage over en hel blokkæden at bedrage cryptocurrency udvekslinger.
Artikel opdateret med ofret tæller tweet.
Relaterede historier:
LocalBitcoins bebrejder brud på forum ‘tredje-parts software’Security fejl fundet i 26 low-end lad os starte
Ny ransomware stamme er at låse op Bitcoin mining rigge i Kina
Europol anholdelser BRITISKE mand for at stjæle €10 millioner værd af TØDDEL cryptocurrency
$145 millioner midler indefrosset efter døden af cryptocurrency udveksling adminTwo hacker grupper, som er ansvarlige for 60 procent af alle offentligt rapporteret hacks
Nej, blokkæden er ikke svaret på vores afstemningssystem elendighed CNET
Blokkæden og biometri: patient-ID ‘ et i fremtiden? TechRepublic
Relaterede Emner:
Blokkæden
Sikkerhed-TV
Data Management
CXO
Datacentre