恶意服务器流出了错误消息,将用户引导到后门下载
更新新的研究显示,在电子比特币钱包恶意软件活动的高峰期,攻击者控制了70%以上的整个网络。
据报道在社交媒体上浮出水面大规模黑客影响开源加密货币的用户。
它是随后确认该Electrum客户端版本3.3.3及更早的人容易受到攻击,在该攻击中,恶意服务器被利用,向进行比特币交易的用户传达错误消息。
这些弹出窗口将把钱包支架引导到提供看似合法的Electrum客户升级的欺骗性网站。
但是,这些下载中的二进制文件包含一个后门,用于从用户的帐户中刷出200多个BTC - 750,000美元的后门。
优势
竞选首次亮相后将近两个月,Coinbase区块链安全工程师Peter Kacherginsky已经提供了有关对Electrum的攻击的新见解,以及犯罪分子如何利用网络的信任模型以充满恶意服务器。
在一个博客文章本周早些时候,Kacherginsky讨论了攻击者如何修改开源Electrumx Server软件以投掷任意错误消息,该消息将用户引导到恶意下载页面。
他解释说:“电子服务器形成了自己的分布式网络,以提高对离线或落后区块链的单个节点的弹性。”
“随着电子钱包发现新的服务器及其同行,将它们添加到本地存储中,并且在客户下次客户连接到网络时,可以根据用户配置使用。”
恶意软件活动中使用的电子交易“错误消息”的屏幕截图
根据Kacherginsky的说法,用户的Electrum钱包试图保持与发现的服务器随机选择的连接。他说,为了触发弹出对话框,钱包将必须发现并连接到恶意的Electrumx服务器。
卡切尔金斯基说:“网络中的恶意电子服务器越多,钱包被攻击的机会就越高。”
他说:“将随机生成的子域用作单个域的别名是对Electrumx的同行验证过程的巧妙利用,它只是验证了广告主机名是否解决了始终的IP地址。”
“因此,有可能用这些幽灵服务器泛滥的同伴表进行SYBIL攻击,在该攻击者中,攻击者试图用他们控制的服务器填充网络,以增加与Electrum客户端建立联系的机会。”
在攻击过程中绘制了电子网络之后,Kacherginsky描绘了受损网络的黯淡图片。
他说:“根据对网络钓鱼消息的自动扫描,我观察到超过471台在总共657个活跃节点中确认了恶意服务器。”“这是攻击者控制的整个扫描网络中的71%。”
本文发表后,Electrum创始人Thomas Voegtlin提出了质疑。
他告诉每日swbeplay2018官网ig。“攻击者使用了数千个名字,但他们并非同时活跃。
“此外,这个数字表明连接到网络钓鱼服务器的机会不正确,因为这些服务器不是种子服务器。流量不是跨服务器均匀分布的。”
主动步骤恢复
Kacherginsky在他的分析中进行了区分,据说两个独立的威胁群体是针对电子服务器的。
其中一个团体显然停止了竞选活动,但研究人员告诉每日swbeplay2018官网ig竞选#1背后的演员“还活着,良好,高度专业地维持其基础设施”。
他说:“他们不断更新网站网站(当我自动报告时)和恶意软件样品(当新的钱包发布时)。”
尽管Kacherginsky指出,Electrum开发团队已经采取了“积极的步骤”来捍卫该网络,但他说,这很明显,这是“受到更坚定的演员之一的持续攻击”。
他说:“只有从可信赖的来源继续保持警惕和下载软件将仍然是电子钱包用户的最佳建议。”
在开发人员端,Electrum客户端版本3.3.3及更高版本包括针对攻击的缓解。一个新版本还启动了Electrumx Server软件,该软件是恶意服务器。
“对我们来说,真正的挑战不是要修复钱包,而是要让用户升级其软件,并保护那些尚未升级的人。”Voegtlin告诉每日swbeplay2018官网ig。
“ Electrum没有自动化更新,因此用户需要积极安装更新(这就是应该的方式;自动化更新将使我们处于有权窃取用户资金的能力,没有人想要的)。”
不幸的是,在3.3.3之前,运行电子版本的用户仍然容易受到弹出骗局的影响。一个github用户声称他们在13天前通过这种方法损失了资金。
有趣的是,为了吸引尚未升级的用户,Electrum拥有部署使用相同漏洞的“白帽子攻击”,并将其引导到正确的下载页面。
“激励Sybil攻击一旦绝大多数用户升级软件,将消失。” Voegtlin说。“因此,我们希望目前的黑名单只会是暂时的。”
本文已更新,以包括Electrum的Thomas Voegtlin的评论。
