Hackers invadem o servidor do navegador Pale Moon e infectam arquivos executáveis!

hackers-infectam-servidor-do-navegador-pale-moon

A equipe do navegador Pale Moon publicou hoje a informação de que o seu servidor foi invadido por crackers em 27 de dezembro de 2017, inclusive a equipe citou que na época da invasão o versão atual era o Pale Moon 27.6.2.

As versões .exe dos pacotes do Pale Moon foram comprometidas na época, todas mesmo, no entanto, as versões compactadas nada sofreram. Os arquivos .exe foram infectados por um malware.

Um script foi usado pelos atacantes para injetar arquivos .exe armazenados nos servidores com uma variante do Trojan Win32/ClipBanker.DY, para que os usuários que baixassem os instaladores de navegador Pale Moon e os arquivos de auto-extração posteriormente fossem infectados por malware.

A equipe Pale Moon descobriu sobre a violação de segurança em 9 de julho deste ano e imediatamente cortou todas as conexões com o servidor afetado (por exemplo, archive.palemoon.org) para impedir que o malware se espalhe para outros usuários.

Sobre as causas e apuração, a equipe do Pale Moon não conseguiu obter maiores informações devido a um outro incidente que ocorreu neste ano, exatamente no dia 26 de maio onde deixou os servidores do navegador fora do ar causando perda de dados, inclusive destes preciosos logs.

Os scripts injetados em cada arquivo .exe tinham o tamanho de 3MB. Mas até agora só restam  especulações e também não será possível identificar como a invasão ocorreu. E dentre essas suposições estão:

  • Acesso local ao sistema (acesso físico)
  • Acesso à VM de uma VM diferente no mesmo nó
  • Acesso à VM de uma VM diferente na mesma sub-rede local e sequestrando sessão de área de trabalho remota.
  • Acesso ao sistema de arquivos da VM via acesso administrativo ao sistema operacional (possivelmente após credenciais de força bruta) pela rede (por exemplo, SAMBA / WFS) (separação VMnet insuficiente/bloqueio de portas FS no nó / DC),
  • Acesso à VM através de acesso remoto através do painel de controle da VM (painel de controle inseguro do provedor da VM),
  • Um problema com a imagem fornecida do Windows Server (que foi pré-ativada/licenciada por volume pelo Provedor de VM).

De forma particular, é quase inacreditável que uma equipe de desenvolvimento ainda pensasse em utilizar o Windows Server para hospedar arquivos, especialmente uma equipe de navegador relevante como o Pale Moon. Certamente se estivessem utilizado o Linux, seja qual for a distribuição, este cenário caótico não teria ocorrido.

Por sorte, somente os pacotes .exe do navegador foram infectados, isso é o que se sabe até agora. O grande problema de tudo isso, é que essas limitações para investigar problemas, pode por em risco a segurança do navegador, e até mesmo a credibilidade daqui para frente.

Para os usuário que estejam querendo saber qual era a infecção, saiba que foi detectado pela ESET como A Variant Of MSIL/Agent.B – depois que o executável malicioso for iniciado ele iria substituir as carteiras cryptocurrency pela do cracker.

Os dados seriam alterados pelo malware quando ele estivesse na área de transferência, ou seja, quando o usuário infectado estivesse fazendo alguma transação onde precisasse copiar e colar alguma informação de carteiras de criptomoedas, o malware iria fazer um alteração, e ao colar os dados seriam alterados pelos do cracker.

Por fim, a equipe informou que depois disso houve a troca do Windows Server para o CentOS que já está em pleno funcionamento. A equipe também resolveu trocar de host, e acredita que situações como essa não devem ocorrer mais.

Caso você queira mais informações confira os links abaixo: