黑客入侵了Pale月亮浏览器项目的存档服务器并且用恶意软件污染了旧的浏览器版本。
Pale Moon“归档服务器”用于托管旧版本的Pale Moon浏览器,以防用户希望将当前稳定版本降级。
斯特劳弗今天说:“恶意方获得了当时基于Windows的存档服务器(Archive.palemoon.org)的访问权限,我们一直在从Frantech/BuyVM租用该服务器,并运行了一个脚本,有选择地用Win 32/ClipBanker.DY(ESET名称)的变体感染存储在其上的所有归档的Pale Moon.exe文件(安装程序和可移植的自解压缩档案)。”
“帕莱·穆恩德夫”说,他昨天(7月9日)获悉了这一事件,并立即关闭了受损的档案服务器。
黑客袭击发生在2017年
“根据感染文件的日期/时间戳,黑客攻击发生在2017年12月27日15:30左右,”斯特劳尔在随后的一次调查后说。
“这些日期/时间戳可能是伪造的,但考虑到从文件中提取的备份,很可能这是实际的违反日期和时间。”
“苍白月亮”说,所有苍白的月亮都感染了27.6.2和更早的病毒。奇怪的是,存档的老版本的Basilisk Web浏览器并没有受到污染,尽管它们都托管在同一台服务器上。
具有讽刺意味的是,Pale Moon项目在今年5月错失了检测入侵的机会,当时原始的存档服务器遇到了数据损坏的问题,因此失败了。
斯特劳弗说:“不幸的是,在导致服务器无法运行的事件之后,转移到新系统的文件是从早些时候进行的备份中提取的,由于这个漏洞没有被检测到,所以被感染的二进制文件被转移到了新的(CentOS)解决方案中,该备份已经处于受感染的状态。”
追踪加密货币用户
从存档服务器下载文件的用户应扫描他们的系统或擦除并恢复他们的工作站,以保持安全。
Win 32/ClipBanker.DY特洛伊木马是安全研究人员所称的剪贴板劫机者。当它感染了受害者之后,它就坐在操作系统的背景下,观看操作系统剪贴板。这个特殊的变体会监视看起来像比特币地址的文本片段,并用预先配置好的地址来代替它们,希望能劫持交易到黑客自己的钱包。
特洛伊人以前在ESET 告中分析过日期:2018年3月。这个相同恶意软件家族的其他版本也支持替换Monero地址。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!