Фишеры украли почти миллион долларов у пользователей Electrum
Мошенники развернули сеть серверов, которые рассылали сообщения со ссылкой на вредоносный вариант кошелька.
Неизвестные злоумышленники атаковали пользователей криптокошелька Electrum, внедрив в легитимную сеть сервиса десятки серверов, рассылающих фишинговые сообщения. Киберпреступники предлагают пользователю загрузить срочное обновление безопасности, вместо которого устанавливают вредоносный вариант программы-клиента и выводят деньги со счета жертвы. За несколько дней мошенникам удалось похитить около 200 биткойнов, что составляет более $720 тыс. по текущему курсу.
Вредоносная кампания началась 21 декабря 2018 года. Как пояснили ИБ-специалисты, злоумышленникам удалось добавить около 50 собственных серверов в сеть сервиса Electrum, который предоставляет услуги по хранению, покупке и продаже криптовалюты. Если при совершении транзакции кошелек обращался к одному из таких хостов, пользователь получал сообщение об ошибке и предложение установить апдейт, который исправит проблему.
Уведомление содержало ссылку на GitHub-аккаунт с фальшивой версией кошелька, которая загружалась поверх легитимного варианта. После установки вредоносной программы пользователь получал запрос на двухфакторную аутентификацию, якобы необходимую для запуска приложения. Узнав от жертвы одноразовый пароль из SMS-уведомления, зловред обнулял баланс аккаунта в пользу киберпреступников.
Обнаружив криминальную активность, разработчики Electrum попытались помешать злоумышленникам, отключив отображение HTML-документов в сообщениях серверов сети. Теперь уведомления от хостов отображаются в виде обычного текста и не могут содержать активных ссылок. Однако это не остановило нападавших, и атаку удалось заблокировать лишь 27 декабря, когда GitHub отключил хранилище, откуда раздавались вредоносные варианты кошелька. Несмотря на это, кошелек злоумышленников продолжает пополняться: к вечеру 28 декабря в нем было уже 245 биткойнов (почти $900 тыс. по текущему курсу).
Эксперты ожидают возобновления атак, как только киберпреступники откроют новый аккаунт или перенесут свои файлы в другой репозиторий. В данный момент ИБ-специалисты продолжают искать и отключать сервера злоумышленников в сети Electrum. Пока удалось найти и заблокировать 33 криминальных хоста, однако сколько еще активных площадок осталось в распоряжении мошенников, неизвестно.
Представители Electrum пока не сообщили о выпуске заплатки, а лишь порекомендовали пользователям загружать программу-клиент с легитимных хранилищ. Ранее разработчики сервиса также не отличались оперативным выпуском обновлений безопасности. Например, брешь в протоколе JSON RPC, через которую злоумышленники могли менять настройки кошелька, редактировать список ключей и адресную книгу, оставалась незакрытой, пока сразу несколько ИБ-аналитиков не забили тревогу.
 |
нравится | не нравится |  |
| Рейтинг: | 0 |
Всего голосов: 0 |
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.