Il server di archivio di Pale Moon è stato violato e utilizzato per diffondere malware

Il team di Pale Moon annunciato il 10 luglio 2019 che il suo server archivio è stato violato e utilizzato per diffondere malware.

Il team ha rilevato la violazione il 9 luglio 2019 e ha spento immediatamente il server di archivio per prevenire ulteriori infezioni da malware. Un'analisi del problema ha rivelato che l'infezione molto probabilmente è avvenuta il 27 dicembre 2017.

Aggiornare : Ulteriori analisi sulla questione da parte del team di Pale Moon hanno rivelato che la violazione era probabilmente più recente di quanto inizialmente ipotizzato. Le stime suggeriscono che i server sono stati violati tra aprile e giugno 2019 e non dicembre 2017. Puoi leggere l'annuncio Qui . Fine

Il server Archive viene utilizzato per servire le versioni precedenti di Pale Moon; i principali canali di distribuzione del browser non sono stati interessati dalla violazione.

Ciò non ha mai influito su nessuno dei principali canali di distribuzione di Pale Moon e, considerando che le versioni archiviate sarebbero state aggiornate solo al prossimo ciclo di rilascio, in nessun momento le versioni correnti, indipendentemente da dove fossero state recuperate, sarebbero state infettate.

Inoltre, l'hacker ha infettato solo i file eseguibili del browser e non i file all'interno degli archivi. Anche altri programmi ospitati sul server, il browser Web Basilisk, non sono stati interessati.

pale-moon archive server breach

Secondo l'autopsia, il problema ha interessato tutti i file eseguibili archiviati di Pale Moon 27.6.2 e precedenti.

L'indagine del team in merito è stata gravemente influenzata da un altro incidente il 26 maggio 2019 che ha causato una `` diffusa corruzione dei dati '' sul server di archivio al punto che l'avvio o il trasferimento dei dati non erano più possibili.

L'hacker è riuscito a infiltrare uno script sul server che verrebbe eseguito localmente per infettare i file eseguibili sul server. L'infezione ha aumentato la dimensione dell'eseguibile di circa tre Megabyte e ha installato una variante di Win32 / ClipBanker.DY all'interno dell'eseguibile.

L'esecuzione di questi eseguibili infetti lascerà cadere un trojan / backdoor sul sistema che potrebbe potenzialmente consentire un'ulteriore compromissione.

Bleeping Computer Appunti che il malware crea un'attività pianificata sul sistema in background mentre il programma di installazione di Pale Moon viene eseguito in primo piano.

Gli utenti che non hanno mai scaricato Pale Moon dall'Archivio Server (archive.palemoon.org) sono 'quasi certamente in chiaro' secondo l'annuncio di Pale Moon.

Il team consiglia agli utenti che hanno scaricato il browser dal sito ufficiale o dal sito di archivio di eseguire una scansione antivirus completa sui propri sistemi per assicurarsi che siano puliti. La firma dell'infezione è 'nota a tutti i principali fornitori di antivirus' secondo l'annuncio; programmi come Avira Antivirus, Avast Free Antivirus, BitDefender gratuito , o Kaspersky Free Antivirus .

C'è anche la possibilità di controllare i file delle firme o la firma digitale dell'eseguibile di Pale Moon. La firma digitale non è disponibile per tutte le versioni, quindi la sua assenza non implica che il file sia infetto. L'esistenza di una firma digitale, d'altra parte, è un chiaro indicatore che il file è pulito.

Le versioni archiviate di Pale Moon sono nuovamente accessibili su archive.palemoon.org . Le date indicano che le directory sono state create il 10 luglio 2019.

Parole di chiusura

Il canale di distribuzione principale di Pale Moon non è stato influenzato dall'hacking, il che significa che la maggior parte degli utenti non è stata interessata dal problema. Il team non ha rilasciato alcuna statistica del server di archivio e non è chiaro quanti utenti siano stati potenzialmente interessati dalla violazione.

Gli utenti di Pale Moon dovrebbero eseguire una scansione antivirus completa sul sistema per assicurarsi che i loro dispositivi non siano infetti.