Команде удалось обнаружить факт компрометации 9 июля 2019 года. Взломанный сервер был незамедлительно отключен, чтобы предотвратить дальнейшее заражение вредоносным ПО. В ходе собственного расследования выяснилось, что заражение, скорее всего, произошло еще 17 декабря 2017 года.
Проблемный сервер использовался для распространения устаревших версий Pale Moon, но основные каналы доставки браузера не были затронуты взломом. Команда проекта сообщает:
Данный инцидент не мог затронуть основные каналы распространения Pale Moon. Учитывая, что архивные версии обновляются только при запуске следующего цикла релизов, текущие версии браузера, независимо от источника получения, не могут быть заражены.
Известно, что хакеры заразили один из исполняемых файлов браузера, а не файлы внутри архивов. Другие программы на взломанном сервере, включая браузер Basilisk, не были модифицированы злоумышленниками.
В ходе проверок было установлено, что проблема затронула старые версии Pale Moon вплоть до 27.6.2.
Сам процесс расследования был инициирован другим инцидентом, который произошел 26 мая 2019 и привел к «масштабному повреждению данных» на сервере с архивными выпусками. На тот момент сервер фактически не был способен выполнять операции передачи данных и даже загружаться.
Хакеру удалось незаметно подложить на сервер скрипт, который запускался для локального заражения исполняемых файлов на сервере. После инъекции вредоносного кода, исполняемый файл увеличивался в размерах примерно на 3 мегабайта, а в качестве полезной нагрузки использовался зловред Win32/ClipBanker.DY.
При запуске зараженных исполняемых файлов в систему проникал троян или бэкдор, который мог приводить к дальнейшей компрометации системы.
Вредоносная программа создавала запланированное задание, которое работало в фоновом режиме, пока установщик Pale Moon выполнял необходимые операции.
Согласно заявлению команды Pale Moon, если вы никогда не загружали Pale Moon с архивного сервера (archive.palemoon.org), то ваши устройства «скорее всего, являются свободными от вредоносного ПО».
Если вы попали в группу риска, то разработчики Pale Moon рекомендуют выполнить полное сканирование системы, чтобы убедиться в ее безопасности. Используемый при взломе образец угрозы «известен всем основным антивирусным вендорам». Такие программы, как Avira Free Antivirus, Avast Free Antivirus, Bitdefender Antivirus Free или Антивирус Kaspersky Free должны без проблем справиться с задачами обнаружения и очистки.
Также можно проверить файлы подписи или цифровую подпись исполняемого файла Pale Moon. Имейте в виду, что цифровая подпись доступна не для всех выпусков, поэтому ее отсутствие не означает, что файл заражен. С другой стороны, наличие цифровой подписи является прямым свидетельством того, что файл является чистым.
Архивные версии Pale Moon снова доступны на archive.palemoon.org. Новые каталоги были созданы 10 июля 2019 года.
Итак, основные каналы распространения Pale Moon не были затронуты данным инцидентом, а значит большинство пользователей могут вздохнуть с облегчением. Команда проекта не предоставила статистику по архивному серверу, а значит неизвестно даже примерное число потенциальных жертв.
Пользователям Pale Moon рекомендуется выполнить полное сканирование системы, чтобы убедиться, что их устройства не заражены.
Угрозы безопасности
• Уязвимость WinRAR позволяет обходить предупреждения безопасности Mark of the Web в Windows
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?