Создание фальшивых серверов с вредоносным кодом для биткоин-кошелька Electrum, что началось 21 декабря 2018 года, на сегодняшний день принесла хакерам более 200 биткоинов на сумму около 750'000 долларов. Рассказываем, как не подвергнуться атаке.
Electrum - это «легкий клиент», который не требует от пользователя загрузки полной цепочки блоков биткоина для хранения монет. Вместо этого серверы удаленно предоставляют пользователям доступ к блокчейну, тем самым предлагая услугу кошелька. Это одна из самых популярных реализаций биткоин-кошелька, и она разрабатывалась для обеих версий Bitcoin Cash, а также Litecoin, Dogecoin и Dash.
Вредоносные серверы
Атака началась, когда в сеть кошельков Electrum были добавлены вредоносные серверы. Когда пользователи пытались совершить биткоин-транзакцию, которая достигла одного из этих нелегитимных серверов, пользователь получил сообщение в приложении-кошельке, в котором ему предлагалось загрузить и установить обновление. Это сообщение приводило ничего не подозревающего пользователя на страницу GitHub хакера.
Обновление фактически было вредоносной программой, замаскированной под новую версию кошелька Electrum. Затем установленное вредоносное ПО предложило пользователям ввести свои коды двухфакторной аутентификации. Это позволило злоумышленникам затем использовать коды аутентификации и похищать биткоины, переводя средства на их собственные адреса.
Разработчик Electrum опубликовал подробности взлома на Github, поделившись следующим скриншотом ложного сообщения хакеров и ссылкой, через которую хакеры внедряют вредоносный код в пользовательский интерфейс Electrum:
С тех пор Electrum изменил свое программное обеспечение и выпустил обновление, но, по словам SomberNight:
Это неверное решение, но более правильное исправление с использованием кодов ошибок повлечет за собой обновление всей экосистемы центрального сервера.
До сих пор мы не сообщали об этом публично, поскольку примерно во время выпуска 3.3.2 злоумышленник остановился; однако теперь они снова начали атаку.
Последнее вредоносное всплывающее окно и ссылка выглядят так:
В сообщениях ZDNet указано, что администраторы Github теперь удалили хранилище с версией вредоносного кошелька. Тем не менее, пользователи кошелька Electrum должны сохранять бдительность, поскольку хакеры остались в деле и скорректировали свои усилия на прошлой неделе, так что, скорее всего, последуют новые атаки.
Electrum предупредил своих пользователей, что они должны загружать программное обеспечение только с electrum.org, а не с Github:
Красным флагом для пользователей, которые невольно загружают вредоносную программу, должен быть запрос на двухфакторную аутентификацию при запуске вредоносной программы, затрагивающей новую версию кошелька. Двухфакторная аутентификация обычно запрашивается только при совершении транзакции.
Не только пользователи кошелька Electrum должны проявлять бдительность, количество атак на пользователей криптовалюты растет. Пользователи, не использующие криптовалюту, также подвержены риску. Недавно мы писалипро новый отчет McAfee, в котором утверждается, что число случаев использования вредоносных программ в криптосфере в 2018 году выросло на 4'000%.
