jueves, 21 de junio de 2018

Github advierte sobre instaladores maliciosos encontrados en proyectos basados en blockchain

El pasado 13 de junio Github lanzó un comunicado advirtiendo a los usuarios de criptodivisas sobre instaladores Windows maliciosos encontrados en algunos repositorios de la conocida plataforma de desarrollo.



Estos ataques están dirigidos a proyectos basados en Blockchain, que por lo general involucran alguna criptodivisa que puede ser canjeada por dinero real. Los ataques tratan de suplantar algún componente del proyecto para infectar a sus usuarios y poder robar sus activos digitales. 

La investigación tuvo lugar a raíz de que los desarrolladores del proyecto Syscoin descubrieran una copia no firmada del instalador "Windows Syscoin 3.0.4.1" en la página de releases del proyecto.




Tras analizar el instalador descubrieron que contenía código malicioso que "dropeaba" el archivo "re.exe" en la carpeta "C:\Users\user\AppData\Local\Temp", un troyano con funcionalidades de keylogger capaz de robar contraseñas y los "wallets" de los usuarios:

https://www.virustotal.com/#/file/b105d2db66865200d1b235c931026bf44428eb7327393bf76fdd4e96f1c622a1/detection

El ataque ha afectado a la capitalización del mercado que ha pasado de los 210 dólares a los 120 aproximadamente.




El instalador fraudulento fue subido a través de una cuenta comprometida de Github y afectó a la versión 3.0.4.1 del instalador.

El troyano sólo afecta a usuarios de Windows y los binarios ya se encuentran sustituidos por sus versiones legítimas.

Los usuarios de Windows que descargaron el instalador de Syscoin entre los días 9 y 13 de junio deberían eliminar cuanto antes el troyano, cambiar todas sus contraseñas y transferir todos sus activos a una cartera segura.


Francisco Salido
fsalido@hispasec.com

Más información:

Security Notice for Windows based installers: