in

Site do Projeto Monero foi infectado por malware

A equipe do Projeto Monero começou a investigar e confirmou que havia sido comprometida.

Site do Projeto Monero foi infectado por malware

O site oficial do Projeto Monero foi comprometido após ser infectado por malware da carteira da CLI (Interface de linha de comandos).

No entanto, o arquivo malicioso ficou disponível para download por cerca de 14 horas e pelo menos um dos usuários que baixou o malware teve seus fundos roubados.

O que aconteceu para o site Monero ser infectado por um malware?

Site do Projeto Monero foi infectado por malware

Então, na terça-feira (18 de novembro), um usuário notou que a soma de hash SHA256 do binário Linux de 64 bits que ele baixou do site não correspondia ao listado nele, o que significa que o arquivo foi modificado.

A equipe do Projeto Monero começou a investigar e confirmou que havia sido comprometida.

É altamente recomendável a qualquer um que baixou a carteira da CLI do [web.getmonero.org] entre segunda-feira, 18 de fevereiro, às 2:30 da manhã UTC e às 16:30 da tarde UTC, para verificar os hashes de seus binários. Se eles não coincidirem com os oficiais, exclua os arquivos e faça o download novamente. Não execute os binários comprometidos por qualquer motivo, aconselharam.

Eles apontaram os usuários em direção a dois guias para verificar a autenticidade dos binários baixados e a uma fonte oficial de hashes assinados, e asseguraram que os “binários agora são servidos de outra fonte segura”.

A investigação sobre como os invasores conseguiram alternar o arquivo sem que a equipe principal do Monero notasse está em andamento, mas um dos membros da equipe confirmou em um thread do reddit que os invasores conseguiram desativar o monitoramento da integridade dos arquivos na caixa comprometida, e é por isso que eles não observe o arquivo alternando imediatamente.

Sobre o binário malicioso

Site do Projeto Monero foi infectado por malware

Posso confirmar que o binário malicioso está roubando moedas. Aproximadamente 9 horas após eu executar o binário, uma única transação esgotou a carteira. Fiz o download da compilação ontem por volta das 18h, horário do Pacífico, compartilhou um usuário afetado.

Ainda não concluí nenhuma análise de malware, mas gostaria de saber se o binário está limitado ao roubo do xmr ou se também tenta comprometer a máquina como um todo ou qualquer um de seus arquivos, completa.

Aliás, o pesquisador de segurança Bart Blaze fez uma análise rápida do binário malicioso e notou que algumas novas funções foram adicionadas a ele, destinadas a roubar dados da carteira cruciais para a extração de fundos deles.

Até onde posso ver, ele não parece criar arquivos ou pastas adicionais – simplesmente rouba sua semente e tenta exfiltrar fundos da sua carteira, observou ele.

Além disso, ele também confirmou que o binário do Windows da ferramenta também foi comprometido a fazer a mesma coisa e ofereceu conselhos sobre o que fazer para se proteger se eles foram afetados.

A importância de sempre verificar a autenticidade dos binários baixados

Site do Projeto Monero foi infectado por malware

“Monero não é o primeiro, e provavelmente não será a última criptomoeda (neste caso, seu site e binários) que fica comprometida, observou Blaze.

Esse incidente serve para enfatizar a importância de sempre verificar a integridade dos binários baixados de qualquer fonte online.

Portanto, mais informações sobre como o compromisso foi executado devem estar disponíveis nos próximos dias.

Via: Help Net Security

Escrito por Fabiano Rodrigues

Usuário de Linux desde o Kurumin; servidor público, tecnólogo em análise e desenvolvimento de sistemas, amante de software livre e de código aberto; apaixonado por jogos, louco por rock e heavy metal, filmes e seriados.

WhatsApp baniu quase meio milhão de contas durante as eleições brasileiras

WhatsApp baniu quase meio milhão de contas durante as eleições brasileiras

Ferramenta de acesso remoto TeamViewer 15 foi lançada

Ferramenta de acesso remoto TeamViewer 15 foi lançada