Злоумышленники взломали репозиторий разработчиков официального клиента криптовалюты Denarius и загрузили на сервер модифицированную версию программы. В установщик приложения был добавлен бэкдор для установки AZORult — трояна, похищающего пароли, файлы cookie и данные цифровых кошельков. По информации ИБ-специалистов, зараженный вариант клиента установлен на более чем 3 тыс. хостов.
О проблеме сообщил эксперт с псевдонимом Misterch0c, который обнаружил, что с аккаунта Denarius на GitHub раздается программа вместе со зловредом. Киберпреступники заменили версию 3.3.6 официального Windows-клиента цифровой валюты, выпущенную 22 января. По сообщению разработчика Карсена Клока (Carsen Klock), взломщики получили доступ к репозиторию, скомпрометировав его пароль.
Создатели Denarius не сообщают, когда произошел инцидент, и отмечают, что в данный момент взломанный клиент удален из хранилища. По информации аналитика с ником pя$ёcцяїтч, имеющего доступ к панели управления командного сервера AZORult, от атаки пострадали 3200 держателей криптовалюты, большая часть которых находится в США, России и Германии.
AZORult способен похищать широкий спектр данных, а также устанавливать на зараженное устройство дополнительные модули, получаемые с командного сервера. За атаками могут стоять различные криминальные группировки и отдельные злоумышленники, поскольку в дарквебе существует бесплатный сервис по созданию готовых к работе исполняемых файлов зловреда. Киберпреступнику достаточно лишь указать адрес компьютера, который будет выступать в качестве центра управления, чтобы получить собственный экземпляр трояна.
В январе этого года в дикой природе был найден штамм AZORult, маскирующийся под программу обновления сервисов Google. Зловред был подписан действительным сертификатом безопасности и внедрялся в инфицированную систему вместо легитимного приложения. Троян использовал уже существующие записи в реестре и списке автозагрузки, чтобы оставаться в компьютере даже после его перезапуска.
Источник: https://threatpost.ru/denarius-client-was-injected-with-azorult/30969/