EXKLUSIV-Hackare har kompromissat GitHub-konto för Denarius cryptocurrency projektet ska leda och har backdoored Windows-klient med AZORult infostealer malware.
Den äventyras Denar cryptocurrency client-vilken nod operatörer kör på sina servrar för att stödja Denarius blockchain– sågs tidigare idag av en säkerhetsforskare som heter Misterch0c, som larmade ZDNet.
ZDNet självständigt bekräftade forskarnas slutsatser med hjälp av RiskIQ hot forskare Yonathan Klijnsma.
Carsen Klock, toppen dev bakom Denarius cryptocurrency, säger händelsen inträffade, eftersom han återanvändas en äldre lösenord för att säkra sin GitHub-konto.
Detta gjorde det möjligt för en hackare att tyst komma åt hans GitHub-konto och ladda upp en backdoored version av Denar Fönster klient –version 3.3.6, som släpptes den 22 januari.
Enligt Misterch0c och Klijnsma denna fil (VirusTotal länk) var en modifierad Denar klient installationsprogrammet som har installerat en version av AZORult malware.
“Den .bat-filen är igång, vilket det kommer att starta andra fack i sekvens, med mindre att AZORult,” Klijnsma sade efter att ha analyserat backdoored Denar installer.
Bild: Yonathan Klijnsma
En gång installerat på användarens dator, AZORult kan stjäla ett brett utbud av användardata, till exempel webbläsare, lösenord, cookies, lösenord för FTP-klienter, chatt historia, och viktigast av allt, plånbok databas filer från populära cryptocurrency kunder.
Misterch0c berättade ZDNet att alla data som samlats in från infekterade användare kommer sedan att skickas till en command and control (C&C), som ligger i 51.15.243.101.
Efter att ha letat upp den IP-adress i RiskIQ är enorm databas med historiska threat intelligence data, Klijnsma berättade ZDNet att 51.15.243.101 hade varit värd ett AZORult kontrollpanel sedan juli 2018.
Bild: Yonathan Klijnsma
En annan säkerhet forskare som lyckats få tillgång till malware är C&C-server hävdade backdoored Denar installer smittade ungefär 3,200 användare.
Azo 3.3 panel från denar hacka @carsenjk @MisterCh0c 3200 poster… dålig pic.twitter.com/Pf68KoIZ41
— pя$ёcцяїтч_ (@prsecurity_) 5 februari, 2019
Enligt Misterch0c, denna IP-adress har kopplingar även till andra malware prover, alla som dök upp för att vara backdoored cryptocurrency programvara, och alla som kommunicerade med samma domän.
Wow… jag tror att det är större än jag trodde. Titta på alla dessa shitcoins plånböcker som äventyras… pic.twitter.com/gim2mkeXYU
— 𝙈𝙞𝙨𝙩𝙚𝙧𝙘𝙝0𝙘 (@MisterCh0c) 5 Februari, 2019
Detta verkar vara en mycket välorganiserad hacka spree som riktade cryptocurrency aficionados med backdooring cyrptocurrency node kunder och plånbok apps.
En av de cryptocurrencies ingår i Misterch0c listan är New York Mynt (NYC), som erkände för två veckor sedan att 51% av attack som genomfördes i oktober var mest sannolikt orsakas av skadlig kod som halkade in i sina plånböcker innan attacken.
New York Mynt 51% attack resulterade i en hackare att ta kontroll över mer än hälften av alla NYC blockchain noder och med hjälp av denna överordnade ställning till frågan och omedelbart bekräfta olagliga transaktioner som sugs NYC mynt plånböcker av Handeln Satoshi cryptocurrency utbyte. Handel Satoshi senare avnoteras New York Mynt från sitt index efter detta angrepp.
Efter att kontaktas av ZDNet och Misterch0c, Klock, de viktigaste Denar dev, bort backdoored Windows-klient från valutas officiella GitHub attack innan denna artikel publicerades. I skrivande stund har det inte varit någon 51% attacker mot Denarius blockchain.
Icke desto mindre, eftersom AZORult är en så påträngande hot som kan samla alla typer av uppgifter såsom lösenord, cookies och plånbok filer, det betyder inte att hacker-gruppen bakom detta dataintrång spree agerat på samma sätt efter varje äventyras cryptocurrency-klienten.
I många fall, kanske de har varit nöjda med att tömma ut den plånböcker av användare som har installerat någon av de andra backdoored kunder, snarare än att ta över en hel blockchain att lura cryptocurrency utbyte.
Artikeln uppdaterad med offret räkna tweet.
Relaterade artiklar:
LocalBitcoins skyller brott mot säkerheten på forumet programvara från tredje part’Security brister som finns i 26 low-end cryptocurrencies
Nya ransomware stam är att låsa upp Bitcoin mining riggar i Kina
Europol arresteringar UK man för att ha stulit €10 miljoner DUGG cryptocurrency
$145 miljoner medel frysta efter döden av cryptocurrency utbyte adminTwo hacker grupper som ansvarar för 60 procent av alla offentligt redovisade hacks
Nej, blockchain är inte svaret att vårt valsystem elände CNET
Blockchain och biometriska kännetecken: patient-ID i framtiden? TechRepublic
Relaterade Ämnen:
Blockchain
Säkerhet-TV
Hantering Av Data
CXO
Datacenter