February 7, 2019

GitHub-аккаунт разработчиков криптовалюты Denarius взломан, в ПО внедрили малварь AZORult

Журналисты издания ZDNet и специалисты компании RiskIQ рассказали о компрометации GitHub-аккаунта разработчиков криптовалюты Denarius. Windows-клиент криптовалютного проекта Denarius был изменен злоумышленниками — в него встроили малварь AZORult.

Главный разработчик Denarius Карстен Клок (Carsen Klock) уже подтвердил факт компрометации, после того как специалисты проинформировали его о возможной проблеме. Он объяснил, что использовал для учетной записи на GitHub старый пароль, которым так же пользовался для других сервисов.

Первым вредоносные изменения в клиенте Denarius для Window заметил ИБ-исследователь Misterch0c. Общими усилиями экспертам удалось установить, что малварь появилась в версии 3.3.6, выпущенной 22 января текущего года. По данным специалистов, «обновленный» клиент содержал известный троян-стилер AZORult, который также может служить загрузчиком для другой малвари. AZORult способен похищать самые разные пользовательские данные: информацию из файлов, пароли, куки, историю браузеров и чатов, пароли от FTP-клиентов, банковские учетные данные и информацию о криптовалютных кошельках. В настоящее время вредоносная версия клиента Denarius уже удалена с GitHub

Misterch0c сообщил, что собранная стилером информация передавалась на управляющий сервер атакующих, расположенный по адресу 51.15.243[.]101. Специалисты RiskIQ проверили данный адрес и обнаружили, что контрольная панель AZORult размещается там с июля 2018 года.

Хуже того, Misterch0c утверждает, что этот адрес также связан с другими вредоносами, которые, судя о всему, тоже были встроены в качестве бэкдоров в различное криптовалютное ПО.