Инфраструктура Electrum под DDoS-атакой

10 апреля 2019 г., среда, 06:02

Злоумышленники вынуждают пользователей обращаться на подставные узлы и устанавливать вредоносное обновление.

Публичные серверы, используемые сообществом Electrum, уже несколько дней работают с перебоями из-за DDoS-атаки. Судя по всему, злоумышленники предприняли эту акцию, чтобы заставить пользователей загрузить зараженную версию биткойн-кошелька, размещенную на специально созданных площадках.

По имеющимся данным, текущая атака проводится с использованием ботнета, который был построен на основе кастомного зловреда, имитирующего подключения Electrum-клиента. В создании DDoS-трафика на уровне приложений принимают участие 150-300 тыс. уникальных узлов (IP-адресов). На некоторых атакуемых серверах интенсивность мусорного потока составила 25 Гбит/с.

Конечной целью злоумышленников является кража криптовалюты. Они подняли собственные Electrum-серверы, на которых разместили забэкдоренную версию кошелька. При подключении к такому узлу пользователю предлагают обновить клиент, однако после установки «обновления» кошелек жертвы мгновенно пустеет. По оценкам, атакующим уже удалось украсть миллионы долларов в криптовалюте; один из пострадавших потерял почти $140 тыс.

Похожую кампанию против Electrum злоумышленники провели в конце прошлого года, но в тот раз они разместили свой «апдейт» на GitHub, и этот источник был довольно быстро заблокирован. Предотвращать переходы по вредоносным ссылкам помогал специализированный сервис Google SafeBrowsing. Разработчики Electrum тоже приняли меры защиты — в частности, создали патч, позволяющий блокчейн-серверу принудительно выводить устаревшие, уязвимые клиенты в оффлайн. Для полноценного функционирования Electrum-кошельку требуется 8-10 соединений, и высока вероятность, что один из этих серверов обладает новой возможностью.

Похоже, что инициаторы текущей кампании учли изменения на сервисе и ошибки своих предшественников (если только это не одни и те же лица). Вместо репозитория GitHub они используют подставные Electrum-серверы — защитники насчитали более 200 доменов, раздающих зловреда. Неспешно обновляемые черные списки SafeBrowsing на сей раз оказались малоэффективными. К тому же злоумышленники стараются максимально ограничить количество легитимных Electrum-серверов посредством DDoS-атаки. Чем больше их выйдет из строя, тем выше вероятность обращения клиента к вредоносному узлу.

Electrum servers are currently under a DoS attack. We are working on a more robust version of the electrum server. In the meantime, affected users should disable auto-connect, and select their server manually.

— Electrum (@ElectrumWallet) April 7, 2019

Примечательно, что угроза заражения актуальна лишь для пользователей устаревших версий Electrum (ниже 3.3). К сожалению, на сервисе нет механизма автообновления, и уязвимых клиентов в сети много, что лишь на руку злоумышленникам.

Владельцев новейших версий кошелька в настоящее время беспокоят только проблемы с подключением к сервису. Администраторы прилагают все усилия, чтобы снизить ущерб от DDoS-атаки, и надеются восстановить работоспособность систем в ближайшие дни. Разработчики Electrum также подготовили патч, лимитирующий потребление ресурсов для IP-адресов.

Пользователям рекомендуется деактивировать функцию автоматического подключения и ограничить попытки открытия сессии одним сервером — лучше собственным. На настоящий момент сносно доступны следующие TLS-узлы:

electrum.hodlister.co:50002
electrum.hsmiths.com:50002
ecdsa.net:110
dxm.no-ip.biz:50002
btc.jochen-hoenicke.de:50002

Тем, кто давно не апгрейдил Electrum-клиент, не стоит полагаться на непрошеные подсказки: обновления всегда следует загружать только из официальных источников — в данном случае с сайта Electrum (electrum.org) или из GitHub-репозитория spesmilo/electrum.

Threatpost

нравится

не нравится

Рейтинг:

Всего голосов: 0

Комментарии

Добавить

Нет комментариев

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA // 08 февраля

Последние новости

19:45		RuStore открыл доступ иностранным разработчикам
17:45		CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs
14:45		Google обещает блюрить непристойные и жестокие картинки поиска
12:45		Бизнес предлагает продавать алкоголь по 2FA
11:45		Исследователь взломал веб-сервис Toyota с внутренними документами
09:45		Дешёвые китайские Android-смартфоны передают слишком много данных владельца
09:45		Почему Tor медленный: неизвестные семь месяцев досят луковую сеть
19:45		Дефектный шифратор Linux-версии Cl0p позволил экспертам создать декриптор
18:45		Для детского билета на футбол теперь нужны ПДн ребенка
16:45		Загрузчик GuLoader использует NSIS-скрипты в атаках на коммерсантов
15:45		НКЦКИ: DDoSом прикрывают более серьезные атаки
14:45		МСофт и Crosstech Solutions Group выводят файловый обмен на новый уровень
13:45		Эксперты оценили идею уголовного срока за утечки
10:45		Поддержка Microsoft Authenticator на Apple Watch прекращена
10:45		Атакующие бэкдорят Windows с помощью тулкита Sliver и техники BYOVD
09:45		Полиция взломала мессенджер Exclu для слежки за киберпреступниками
19:45		В OpenSSH устранили уязвимость грозящую удаленным исполнением кода
19:45		Яндексу не хватает видеокарт Nvidia

Все новости

Добавить комментарий к новости
Ваше имя: *
Сообщение: *

Инфраструктура Electrum под DDoS-атакой

Добавить комментарий к новости