06/02/19
/denars.jpg?width=300&name=denars.jpg)
Неизвестные взломали учетную запись разработчиков криптовалюты Denarius на GitHub и внедрили в Windows-клиент проекта инфостилер AZORult. Первым изменения в клиенте заметил ИБ-эксперт, использующий псевдоним Misterch0c.
Главный разработчик проекта Карсен Клок (Carsen Klock) подтвердил факт взлома после того, как специалисты и журналисты издания ZDNet сообщили ему о проблеме. Клок объяснил, что установил в учетной записи на GitHub старый пароль, который также использовал для других сервисов. Из-за оплошности разработчика злоумышленникам удалось получить доступ к аккаунту и загрузить вредоносную версию клиента 3.3.6 (релиз официальной версии состоялся 22 января нынешнего года).
По данным исследователей, модифицированный вариант содержал известный троян AZORult, способный похищать различную информацию, например, сохраненные в браузере пароли, файлы cookie, пароли для FTP-клиентов, историю сообщений в чатах, а также данные о криптовалютных кошельках. В настоящее время вредоносная версия клиента уже удалена с GitHub.
По словам Misterch0c, все собранные данные отправлялись на C&C-сервер с IP-адресом 51.15.243.101. Согласно данным экспертов RiskIQ, контрольная панель AZORult размещается там с июля 2018 года. Данный адрес связан и с другими вредоносами, внедренными в различное криптовалютное ПО.
Судя по всему, исследователи случайно напали на след хорошо организованной вредоносной кампании, направленной на незаметную компрометацию криптовалютных кошельков и программного обеспечения различных проектов. К примеру, в списке Misterch0c фигурирует проект New York Coin (NYC), разработчики которого ранее признали, что октябрьская атака 51% произошла, скорее всего, из-за инфицирования вредоносным ПО кошельков NYC.
