Злоумышленники устроили пользователям кошельков Electrum достаточно хитроумный рождественский сюрприз. Угрозу удалось заблокировать, во всяком случае, на время, но команда Electrum призывает сохранять бдительность, особенно учитывая, что ликвидировать уязвимость пока не удалось.
Атака началась еще в прошлую пятницу, 21 декабря, но проблему удалось купировать только сегодня. Ничего не подозревающие пользователи Electrum получали уведомление об очередном обновлении, которое предлагалось скачать с репозитория GitHub. В этом-то обновлении и таился вредоносный код.
Собственно, саму проблему с безопасностью устранить пока так и не получилось – пользователи и команда Electrum могут перевести дух благодаря тому, что админы GitHub блокировали репозиторий, который использовал неизвестный хакер или группа. Теоретически, хакерам нужно просто найти другое место, откуда пользователи будут скачивать вирус.
Дело в том, что хакеру (или хакерам) удалось подключить к сети Electrum десятки вредоносных серверов. Как только пользователь кошелька намеревается осуществить транзакцию в биткоине, эти серверы направляют ему сообщение об ошибке, призывающее загрузить тот самый заряженный вредоносным кодом апдейт.
После установки обновления приложение запрашивает у пользователя код двухфакторной аутентификации. Это первый сигнал тревоги, поскольку обычно такой код может запрашиваться для подтверждения транзакции, а не просто при запуске кошелька. Далее – дело техники; получив код двухфакторной аутентификации, злоумышленник переводит средства пользователя на один из своих биткоин-адресов.
Проблема с этой атакой заключается в том, что серверы Electrum имеют возможность отправлять пользователям сообщения, в которых может быть любой текст, а также активная ссылка. Команда Electrum поначалу попыталась отключить опцию HTML-форматирования в таких сообщениях. Тем не менее, некоторые пользователи, получив сообщение об ошибке с неактивной ссылкой, просто пожимали плечами, копировали ссылку из сообщения вручную и все-таки скачивали вредоносное обновление.
Таким образом, атаки могут возобновиться в любой момент, если злоумышленники сочтут это целесообразным – достаточно найти новый хостинг для их обновления и добавить ссылку на него в сообщение, рассылаемое контролируемыми ими серверами. Разработчики Electrum идентифицировали пока 33 таких сервера, однако полагают, что их может быть и больше, около 50.