Злоумышленникам удалось взломать официальный сайт криптовалюты Monero. В итоге ресурс начал распространять вредоносное ПО, которое используется для кражи криптовалюты у тех, кто загружает с сайта криптовалютный кошелек.
Пользователи сайта сообщили об этом 18 ноября. Один из них заметил, что криптографический хэш для консольного (CLI) кошелька не совпадает с хэшем на сайте. За несколько часов удалось определить, что это вызвано не технической ошибкой, а кибератакой.
За это время хакеры смогли добавить в CLI-кошельки новые функции. Когда пользователь открывает или создает новый кошелек, они отправляют криптографический ключ для доступа к содержимому кошелька на сервер node.hashmonero[.]com. Затем вредоносное ПО отправляет содержимое кошелька на серверы node.xmrsupport[.]co и 45.9.148[.]65. Аналогичным образом действует вредоносная версия кошелька для Windows.
Администрация сайта официально подтвердила факт взлома. Всем, кто загрузил CLI-кошелек с сайта в период с 2:30 до 16:30 18 ноября, порекомендовали проверить хэши.
«Если они не совпадают с официальными, удалите файлы и загрузите снова. Ни при каких обстоятельствах не запускайте скомпрометированные файлы», — заявила администрация Monero
Как пояснили админы, проблему удалось оперативно решить, то есть скомпрометированные файлы были в сети в течение примерно 35 минут, а бинарные файлы теперь подаются из другого безопасного источника.
Monero представила два руководства, которые помогут пользователям проверить подлинность своих бинарных файлов: проверка бинарных файлов в Windows (для начинающих) и проверка бинарных файлов в Linux, Mac или командной строке Windows (дополнительно). Подписанные хеши можно найти по ссылке getmonero.org/downloads/hashes.txt.
Аналитик PwC по анализу угроз Барт Парис более внимательно изучил скомпрометированные двоичные файлы и обнаружил, что образец Linux был заражен вредоносным ПО для кражи монет. Он также смог получить образец вредоносного ПО Windows.
Подписывайся на канал Crypto.Pro в Telegram - всегда свежие новости и обзор рынка
