Monero site hack: ¿Cómo los hackers distribuyeron criptomonedas robando malware?


Los atacantes comprometieron el proyecto oficial de Monero para difundir criptomonedas robando malware en lugar de las descargas legítimas de Monero.
Los archivos comprometidos estuvieron en línea durante un breve período y ahora los archivos binarios se sirven desde otra fuente segura.

Un ataque cibernético fue confirmado por los funcionarios del sitio web del proyecto de criptomonedas Monero el lunes, en el que los atacantes reemplazaron encubiertamente binarios legítimos (y descargables) de Linux y Windows con sus versiones maliciosas.

¿Que pasó?

Un ciberataque en la cadena de suministro salió a la luz después de que un usuario de Monero descubrió una falta de coincidencia en el hash criptográfico de los binarios que descargó del sitio oficial. No coincidía con los hashes proporcionados por los desarrolladores de software.

Después de una investigación inmediata, el equipo de Monero dijo que su sitio web, GetMonero.com, estaba realmente comprometido.

GetMonero lanzó inmediatamente una actualización que decía: "cualquiera que haya descargado la billetera CLI de este sitio web entre el lunes 18 a las 2:30 a. M. UTC y las 4:30 p. M. UTC, para verificar los hash de sus archivos binarios".

"Si no coinciden con los oficiales, elimine los archivos y descárguelos nuevamente. No ejecute los archivos binarios comprometidos por ningún motivo", agregó.

La identidad de los hackers aún se desconoce, y el equipo de GetMonero está investigando el incidente.

¿Cómo funciona el malware?

El investigador de seguridad BartBlaze realizó un análisis de los binarios maliciosos. Se reveló que los atacantes modificaron archivos binarios legítimos al inyectar algunas funciones nuevas en el software.

El malware se activa cuando un usuario abre o crea una nueva billetera. Está programado para robar fondos automáticamente de las billeteras de los usuarios. Las funciones maliciosas envían la semilla de la billetera de los usuarios, una especie de clave secreta que restaura el acceso a la billetera, a un servidor remoto controlado por el atacante, lo que permite a los atacantes robar fondos de la víctima sin problemas.

"Hasta donde puedo ver, no parece crear ningún archivo o carpeta adicional, simplemente roba su semilla e intenta extraer fondos de su billetera", dijo el investigador.

Pérdida reclamada por un usuario

Un usuario de Monero en Reddit afirmó haber perdido fondos por valor de $ 7000 después de instalar el binario malicioso de Linux.

"Puedo confirmar que el binario malicioso está robando monedas. Aproximadamente 9 horas después de ejecutar el binario, una sola transacción agotó mi billetera de todos los $ 7000", escribió el usuario. "Descargué la compilación ayer alrededor de las 6 pm hora del Pacífico".

Las secuelas de los hallazgos

El equipo de Monero aseguró a sus usuarios que los archivos comprometidos estuvieron en línea por un período de tiempo muy corto.

Los archivos comprometidos estuvieron en línea durante un breve período y ahora los archivos binarios se sirven desde otra fuente segura. Mientras tanto, los funcionarios aconsejaron a los usuarios que revisen los hash de sus archivos binarios para el software CLI de Monero y se aseguren de que tengan uno oficial.

El equipo de Monero ha emitido un aviso detallado si alguien quiere aprender cómo verificar los hash de los archivos en su sistema Windows, Linux o macOS.
Hasta el momento, no hay claridad sobre cómo los atacantes lograron infiltrarse en el sitio web de Monero y quiénes se vieron afectados y perdieron sus fondos digitales.


No olvides Compartir...


Siguenos en twitter: @disoftin - @fredyavila