Aanvallers hebben anderhalf jaar geleden de officiële archiefserver van de Pale Moon-browser gecompromitteerd en alle oude Windows-versies van de browser van malware voorzien, zo is nu pas bekend geworden. De inbraak vond plaats op 27 december 2017 en werd op 9 juli 2019 ontdekt.
De aangepaste Pale Moon-versies waren voorzien van de ClipBanker-malware, die gekopieerde bitcoin-adressen in het clipboard aanpast. Gebruikers van cryptocurrency die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het wallet-adres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het wallet-adres zich in het clipboard van de computer. ClipBanker monitort op besmette computers het clipboard en zodra de malware ziet dat een gebruiker een wallet-adres kopieert, verandert het dit adres. Tevens zou de malware als backdoor fungeren waardoor het systeem verder kan worden gecompromitteerd.
Na ontdekking van de geïnfecteerde versies werd de archiefserver uit de lucht gehaald. Hoe de aanvallers de server wisten te compromitteren is onbekend. In mei van dit jaar kreeg de archiefserver met grootschalige datacorruptie te maken waardoor die niet meer kon worden gestart of uitgelezen. Daardoor zijn de systeemlogs van de aanval verloren gegaan. De ontwikkelaar van de browser vermoedt dat de aanvallers ook achter het incident in mei zitten.
Alle gearchiveerde exe-bestanden werden door de aanvallers op de archiefserver aangepast, zowel de installers als portable versies. Bestanden binnen archiefbestanden werden niet geïnfecteerd. Na het incident afgelopen mei met de archiefserver werd besloten een nieuwe server op te zetten. Daarbij werden de archiefbestanden uit een back-up teruggeplaatst. Op het moment van de back-up waren de gearchiveerde browserversies al besmet, waardoor die ook op de nieuwe server terechtkwamen.
Volgens de ontwikkelaar zijn de aanvallers waarschijnlijk via de provider binnengekomen. "Mijn vertrouwen in de VM-provider is niet voldoende meer om ze zelfs voor een handige opslagserver te gebruiken. Hoewel de CentOS-setup aanzienlijk is beveiligd, voorkomt het nog steeds geen lokale toegang of toegang tot het beheerderspaneel als dat de zwakke plekken in hun setup zijn."
Gebruikers die niets van archive.palemoon.org hebben gedownload zouden geen risico lopen. Toch krijgen alle gebruikers van de browser het advies om de digitale handtekening te controleren of een virusscan uit te voeren. De opgeschoonde archiefserver komt binnenkort weer online. Pale Moon is een op Firefox gebaseerde browser.
Deze posting is gelocked. Reageren is niet meer mogelijk.