Взломанный сервер Pale Moon распространял зараженные версии браузера
Злоумышленники скомпрометировали сервер еще в декабре 2017 года, однако отключен он был только недавно.
Разработчики браузера Pale Moon сообщили о взломе неизвестными злоумышленниками их архивного сервера, в результате чего хранящиеся на нем файлы были заражены вредоносным ПО. Pale Moon – браузер с открытым исходным кодом, ориентированный на кастомизацию и повышение производительности. Браузер базируется на коде Firefox, но использует собственный движок Goanna. В прошлом году число пользователей Pale Moon колебалось в пределах от 750 тыс. до 1,25 млн.
По словам разработчиков, архивный сервер archive.palemoon.org был взломан, и в хранящиеся на нем исполняемые файлы, в том числе установщики и PE-файлы, был внедрен загрузчик вредоносного ПО, детектируемый решениями ESET как Win32/ClipBanker.DY. Когда жертва запускает зараженный файл, на ее систему устанавливается бэкдор.
Инцидент был обнаружен 9 июля, и разработчики незамедлительно отключили скомпрометированный сервер. Тем не менее, как показывают временные метки в файлах, злоумышленники получили к нему доступ еще в декабре 2017 года. Киберпреступники могли подделать временные метки, однако, судя по резервным копиям файлов, даты являются достоверными. Похоже, злоумышленники внедряли загрузчик не удаленно, а локально, добавив в каждый файл по 3 дополнительных мегабайта.
Расследование инцидента затруднено отсутствием достаточного количества данных, уничтоженных в результате отключения сервера в мае нынешнего года. Неожиданно сервер вышел из строя, и все записи реестра пропали, поэтому сложно установить, каким образом злоумышленникам удалось в него поникнуть.
По мнению разработчиков браузера, взлом стал возможным из-за недостаточной защиты сервера со стороны хостинг-провайдера. По этой причине команда Pale Moon сменила хостинг-провайдера.
Злоумышленники заразили исполняемые файлы для версии Pale Moon 27.6.2 и более ранних. Файлы, хранящиеся за пределами архивного сервера, не были затронуты атакой. Пользователям, загрузившим браузер не с archive.palemoon.org, опасаться нечего. Тем же, кто мог получить зараженную версию Pale Moon, рекомендуется провести полное сканирование системы на наличие вредоносного ПО.
