Site do Projeto Monero foi infectado por malware

Malware de mineração de criptomoeda adiciona capacidade de roubar senhas Linux
Monero

O site oficial do Projeto Monero foi comprometido após ser infectado por malware da carteira da CLI (Interface de linha de comandos).

No entanto, o arquivo malicioso ficou disponível para download por cerca de 14 horas e pelo menos um dos usuários que baixou o malware teve seus fundos roubados.

O que aconteceu para o site Monero ser infectado por um malware?

Então, na terça-feira (18 de novembro), um usuário notou que a soma de hash SHA256 do binário Linux de 64 bits que ele baixou do site não correspondia ao listado nele, o que significa que o arquivo foi modificado.

A equipe do Projeto Monero começou a investigar e confirmou que havia sido comprometida.

É altamente recomendável a qualquer um que baixou a carteira da CLI do [web.getmonero.org] entre segunda-feira, 18 de fevereiro, às 2:30 da manhã UTC e às 16:30 da tarde UTC, para verificar os hashes de seus binários. Se eles não coincidirem com os oficiais, exclua os arquivos e faça o download novamente. Não execute os binários comprometidos por qualquer motivo, aconselharam.

Eles apontaram os usuários em direção a dois guias para verificar a autenticidade dos binários baixados e a uma fonte oficial de hashes assinados, e asseguraram que os “binários agora são servidos de outra fonte segura”.

A investigação sobre como os invasores conseguiram alternar o arquivo sem que a equipe principal do Monero notasse está em andamento, mas um dos membros da equipe confirmou em um thread do reddit que os invasores conseguiram desativar o monitoramento da integridade dos arquivos na caixa comprometida, e é por isso que eles não observe o arquivo alternando imediatamente.

Sobre o binário malicioso

Posso confirmar que o binário malicioso está roubando moedas. Aproximadamente 9 horas após eu executar o binário, uma única transação esgotou a carteira. Fiz o download da compilação ontem por volta das 18h, horário do Pacífico, compartilhou um usuário afetado.

Ainda não concluí nenhuma análise de malware, mas gostaria de saber se o binário está limitado ao roubo do xmr ou se também tenta comprometer a máquina como um todo ou qualquer um de seus arquivos, completa.

Aliás, o pesquisador de segurança Bart Blaze fez uma análise rápida do binário malicioso e notou que algumas novas funções foram adicionadas a ele, destinadas a roubar dados da carteira cruciais para a extração de fundos deles.

Até onde posso ver, ele não parece criar arquivos ou pastas adicionais – simplesmente rouba sua semente e tenta exfiltrar fundos da sua carteira, observou ele.

Além disso, ele também confirmou que o binário do Windows da ferramenta também foi comprometido a fazer a mesma coisa e ofereceu conselhos sobre o que fazer para se proteger se eles foram afetados.

A importância de sempre verificar a autenticidade dos binários baixados

“Monero não é o primeiro, e provavelmente não será a última criptomoeda (neste caso, seu site e binários) que fica comprometida, observou Blaze.

Esse incidente serve para enfatizar a importância de sempre verificar a integridade dos binários baixados de qualquer fonte online.

Portanto, mais informações sobre como o compromisso foi executado devem estar disponíveis nos próximos dias.

Via: Help Net Security

Acesse a versão completa
Sair da versão mobile