Неизвестные злоумышленники атаковали пользователей криптокошелька Electrum, внедрив в легитимную сеть сервиса десятки серверов, рассылающих фишинговые сообщения.

Киберпреступники предлагают пользователю загрузить срочное обновление безопасности, вместо которого устанавливают вредоносный вариант программы-клиента и выводят деньги со счета жертвы. За несколько дней мошенникам удалось похитить около 200 биткойнов, что составляет более $720 тыс. по текущему курсу.

Вредоносная кампания началась 21 декабря 2018 года. Как пояснили ИБ-специалисты, злоумышленникам удалось добавить около 50 собственных серверов в сеть сервиса Electrum, который предоставляет услуги по хранению, покупке и продаже криптовалюты. Если при совершении транзакции кошелек обращался к одному из таких хостов, пользователь получал сообщение об ошибке и предложение установить апдейт, который исправит проблему.

Уведомление содержало ссылку на GitHub-аккаунт с фальшивой версией кошелька, которая загружалась поверх легитимного варианта. После установки вредоносной программы пользователь получал запрос на двухфакторную аутентификацию, якобы необходимую для запуска приложения. Узнав от жертвы одноразовый пароль из SMS-уведомления, зловред обнулял баланс аккаунта в пользу киберпреступников.

Обнаружив криминальную активность, разработчики Electrum попытались помешать злоумышленникам, отключив отображение HTML-документов в сообщениях серверов сети. Теперь уведомления от хостов отображаются в виде обычного текста и не могут содержать активных ссылок. Однако это не остановило нападавших, и атаку удалось заблокировать лишь 27 декабря, когда GitHub отключил хранилище, откуда раздавались вредоносные варианты кошелька. Несмотря на это, кошелек злоумышленников продолжает пополняться: к вечеру 28 декабря в нем было уже 245 биткойнов (почти $900 тыс. по текущему курсу).

Эксперты ожидают возобновления атак, как только киберпреступники откроют новый аккаунт или перенесут свои файлы в другой репозиторий. В данный момент ИБ-специалисты продолжают искать и отключать сервера злоумышленников в сети Electrum. Пока удалось найти и заблокировать 33 криминальных хоста, однако сколько еще активных площадок осталось в распоряжении мошенников, неизвестно.

Представители Electrum пока не сообщили о выпуске заплатки, а лишь порекомендовали пользователям загружать программу-клиент с легитимных хранилищ. Ранее разработчики сервиса также не отличались оперативным выпуском обновлений безопасности. Например, брешь в протоколе JSON RPC, через которую злоумышленники могли менять настройки кошелька, редактировать список ключей и адресную книгу, оставалась незакрытой, пока сразу несколько ИБ-аналитиков не забили тревогу.

Категории: Вредоносные программы, Мошенничество