Официальный сайт Monero заражает системы пользователей вредоносным ПО

Злoумышлeнники мoдифицирoвaли рaспрoстрaняeмый сaйтoм CLI-кoшeлeк с цeлью пoxищeния криптoвaлюты пoльзoвaтeлeй.

Oфициaльный сaйт криптoвaлюты Monero был взлoмaн нeизвeстными и зaрaжeн врeдoнoсным ПO. Дaннoe ПO прeднaзнaчaeтся для крaжи криптовалюты у пользователей, загружающих с сайта криптовалютный кошелек.

Атака была выявлена в понедельник, 18 ноября. Один из пользователей сайта обнаружил , что криптографический хэш для консольного (CLI) кошелька не совпадает с хэшем, указанным на сайте. В течение нескольких последующих часов выяснилось, что несовпадение было вызвано не технической ошибкой, а кибератакой, целью которой было заставить пользователей ресурса GetMonero загрузить вредоносное ПО. Позднее администрация сайта подтвердила факт взлома.

«Всем загрузившим CLI-кошелек с сайта в период с 2:30 до 16:30 в понедельник, 18 ноября, настоятельно рекомендуется проверить хэши. Если они не совпадают с официальными, удалите файлы и загрузите снова. Ни при каких обстоятельствах не запускайте скомпрометированные файлы», – сообщила администрация GetMonero.

Как показал анализ скомпрометированных файлов для Linux, в легитимный кошелек были добавлены новые функции. Одна из функций вызывается, когда пользователь открывает или создает новый кошелек. Эта функция отправляет криптографический ключ, используемый для доступа к содержимому кошелька, на сервер node.hashmonero[.]com. Вредоносное ПО затем отправляет содержимое кошелька на серверы node.xmrsupport[.]co и 45.9.148[.]65. Вредоносная версия кошелька для Windows действует примерно по такому же сценарию.

Несколько пользователей уже лишись средств из-за вредоносного кошелька. Была ли уязвимость, повлекшая за собой взлом, исправлена, администрация GetMonero не сообщает.

Источник