Разработчики опенсорсного браузера Pale Moon, которым пользуются около миллиона человек, рассказали, что архивный сервер проекта (archive.palemoon.org), где хранятся старые версии браузера, был взломан. В настоящее время сервер отключен для проведения расследования.
Атака произошла 18 месяцев тому назад (предположительно 27 декабря 2017 года), однако до недавнего времени взлом оставался незамеченным. Стоит отметить, что расследованию инцидента сильно мешает тот факт, что в мае текущего года архивный сервер уже имел проблемы: тогда имело место повреждение данных, а сервер вышел из строя. Как оказалось, после этого файлы были восстановлены из уже зараженной резервной копии, а все системные логи были утрачены.
Команда Pale Moon полагает, что атака на archive.palemoon.org, вероятно, произошла из-за слабой защиты со стороны хостера, компании Frantech/BuyVM, поэтому теперь разработчики подыскивают новый хостинг.
Как выяснилось, неизвестный злоумышленник заразил все старые сборки Pale Moon малварью Win32/ClipBanker.DY (классификация компании ESET, ранее вредоноса), то есть трояном, похищающим данные из буфера обмена пострадавшей машины.
Интересно, что заражению подверглись все версии Pale Moon, от 27.6.2 и ранее, но заархивированные версии браузера Basilisk не были изменены, хотя размещались на том же сервере.
Теперь пользователям, которые загружали файлы с архивного сервера, рекомендуется внимательно проверить свои системы и, в случае необходимости, очистить машину и переустановить ОС.
Известно, что троян Win32/ClipBanker.DY охотится за криптовалютой пользователей. После заражения системы он следит за буфером обмена ОС и отслеживает попадающие в него текстовые фрагменты, похожие на биткоин-адреса. Обнаруженные адреса малварь подменяет на заранее заготовленный адрес злоумышленников, стараясь перехватить транзакции и направить их на адрес хакеров.
