EXCLUSIEVE –Hackers hebben ingebroken op de GitHub-account van de Penning cryptocurrency project leiden en hebben backdoored de Windows-client met de AZORult infostealer malware.
De besmette Penning cryptocurrency client –welk knooppunt operators draaien op hun servers te ondersteunen de Penning blockchain– gespot werd eerder vandaag door een security-onderzoeker genaamd Misterch0c, die gewaarschuwd ZDNet.
ZDNet onafhankelijk van elkaar bevestigd dat de onderzoeker de bevindingen met de hulp van RiskIQ bedreiging onderzoeker Yonathan jetta klijnsma..
Carsen Klok, de top dev achter de Penning cryptocurrency, zei dat het incident zich heeft voorgedaan, omdat hij opnieuw gebruikt een oudere wachtwoord beveiligd zijn GitHub account.
Dit liet een hacker om stil te zijn GitHub account en het uploaden van een backdoored versie van de Penning Venster client –versie 3.3.6, uitgebracht op 22 januari.
Volgens Misterch0c en jetta klijnsma. dit bestand (VirusTotal link) was een aangepaste Penning opdrachtgever de installateur die de installatie van een versie van de AZORult malware.
“De .bat-bestand wordt gestart, zal het begin van de andere bakken in de juiste volgorde, met kleiner wordt AZORult,” zei jetta klijnsma. na het analyseren van de backdoored Penning installer.
Afbeelding: Yonathan Jetta Klijnsma.
Eenmaal geïnstalleerd op de computer van een gebruiker, AZORult voor het stelen van een breed scala van gebruikers-gegevens, zoals de browser, wachtwoorden, cookies, wachtwoorden voor FTP-clients, chat geschiedenis, en nog belangrijker, portemonnee database bestanden van de populaire cryptocurrency klanten.
Misterch0c vertelde ZDNet dat alle gegevens van de geïnfecteerde gebruikers zou dan verzonden worden naar een command and control (C&C) gelegen op 51.15.243.101.
Na het opzoeken van de IP-adres in RiskIQ de enorme database van historische threat intelligence-gegevens, jetta klijnsma. vertelde ZDNet dat de 51.15.243.101 had als gastheer voor een AZORult bedieningspaneel sinds juli 2018.
Afbeelding: Yonathan Jetta Klijnsma.
Een andere security-onderzoeker die erin slaagde om toegang te krijgen tot de malware de C&C-server beweerde de backdoored Penning installer besmet ongeveer 3,200 gebruikers.
Azo 3.3 paneel van denarius hack @carsenjk @MisterCh0c 3200 records… slecht pic.twitter.com/Pf68KoIZ41
— pя$ёcцяїтч_ (@prsecurity_) 5 februari 2019
Volgens Misterch0c, dit IP-adres is ook gekoppeld aan andere malware samples, al die leek te worden backdoored cryptocurrency software, en alle die met dit zelfde domein.
Wow… dat is denk ik groter dan ik dacht. Kijk naar al die shitcoins portefeuilles die waren aangetast… pic.twitter.com/gim2mkeXYU
— 𝙈𝙞𝙨𝙩𝙚𝙧𝙘𝙝0𝙘 (@MisterCh0c) 5 Februari 2019
Dit lijkt een zeer goed georganiseerde hacken van de spree, die gericht cryptocurrency liefhebbers door backdooring cyrptocurrency knooppunt klanten en portemonnee apps.
Een van de cryptocurrencies opgenomen in Misterch0c de lijst is New York Munt (NYC), die toegelaten is twee weken geleden dat 51% van de aanval uitgevoerd in oktober was het meest waarschijnlijk veroorzaakt door malware die was gleed in haar portemonnee voor de aanval.
De New York Munt 51% aanval resulteerde in hackers nemen van meer dan de helft van alle NYC blockchain knooppunten en het gebruik van deze superieure positie te geven en onmiddellijk bevestigen illegale transacties die overgeheveld NYC munten uit de portemonnee van de Handel Satoshi cryptocurrency exchange. Handel Satoshi later uit de notering in New York Munt uit de index na deze aanval.
Na het krijgen van contact met ZDNet en Misterch0c, Klok, de belangrijkste Penning dev, verwijderd van de backdoored Windows client van de valuta ‘ s van officiële GitHub vallen voordat dit artikel is de publicatie. Op het moment van schrijven, er zijn geen 51% van de aanvallen tegen de Penning blockchain.
Niettemin, omdat AZORult is een dergelijke opdringerige bedreiging die kan het verzamelen van allerlei gegevens, zoals wachtwoorden, cookies en de portemonnee van bestanden, dit betekent niet dat de hacker groep die achter deze hack spree handelde op dezelfde manier na elke besmette cryptocurrency client software.
In veel gevallen, zouden ze kunnen tevreden zijn geweest met het leeghalen van de portemonnee van de gebruikers die de installatie van een van de andere backdoored klanten, in plaats van over een hele blockchain te frauderen cryptocurrency uitwisselingen.
Artikel bijgewerkt met slachtoffer tellen tweet.
Verwante artikelen:
LocalBitcoins schuld schending van de beveiliging op het forum van de ” derde-partij software’Security gebreken gevonden in 26 low-end cryptocurrencies
Nieuwe ransomware-stam is het blokkeren van Bitcoin mining rigs in China
Europol arrestaties VERZENDING man voor het stelen van €10 miljoen waard van IOTA cryptocurrency
145 miljoen dollar fondsen bevroren na de dood van cryptocurrency exchange adminTwo hacker groepen die verantwoordelijk zijn voor 60 procent van alle publiekelijk gemeld hacks
Nee, blockchain is niet het antwoord op onze stemming ellende CNET
Blockchain en biometrie: De identiteitskaart van de patiënt van de toekomst? TechRepublic
Verwante Onderwerpen:
Blockchain
Beveiliging TV
Data Management
CXO
Datacenters