Oszuści stworzyli fałszywą stronę internetową, która zawiera kilka linków do pobrania powszechnie używanego portfela Wasabi. Problem polega na tym, że niektóre z nich są „sfałszowanymi” linkami, które w rzeczywistości nie prowadzą na oficjalną stronę Wasabi.
Ostrzeżenie przed szkodliwym oprogramowaniem
Osoby, które chcą pobrać otwartożródłową wersję Windows portfela Wasabi powinny być ostrożne, ponieważ oszuści umieścili szkodliwy plik z rozszerzeniem „.msi” pod linkiem do portfela zgodnego z systemem operacyjnym Windows.
Strona wasabibitcoinwallet.org, utworzona przez nieznaną grupę hakerów, wymienia cztery różne wersje portfela Wasabi. Obejmują one łącza do portfela dla użytkowników MacOS, Linux i Windows.
Udają Wasabi
@ nopara73, współzałożyciel portfela Wasabi ujawnił na Twitterze, że odkrył, co może być „pierwszym złośliwym oprogramowaniem, które udaje Wasabi (http://wasabibitcoinwallet.org)”.
The first malware that pretends to be Wasabi: https://t.co/08VrjnrVsr
Notice only the Windows download link points to their own website, the rest is to our GitHub? pic.twitter.com/t7jKViESZ2
— nopara73 (@nopara73) March 21, 2019
Jak wykryć zhakowany link?
Deweloper portfela Wasabi zauważył, że żadna wyszukiwarka nie była w stanie wykryć szkodliwego pliku (z rozszerzeniem „.msi”).
Oh boy. This is going to be messy: pic.twitter.com/0RLUcrztxK
— nopara73 (@nopara73) March 21, 2019
Komentując tę sprawę, Nicolas Dorier, programista C # i Bitcoin, zalecił „zainstalowanie [programu] na maszynie wirtualnej (VM), wyodrębnienie plików i [próbę] dezasemblacji” za pomocą ILSpy, asemblera i dekompilatora .NET o otwartym kodzie źródłowym.
Hakerzy uczą się bardzo szybko
Uznając, że sugestia Doriera może być pomocna, współzałożyciel Wasabi powiedział, że przyjrzy się całej sprawie bliżej.
Tymczasem Ethan Heilman, CTO i współzałożyciel Arwen, organizacji skupionej na rozwoju rozwiązań bezpieczeństwa dla scentralizowanej giełd zasobów cyfrowych, ostrzegł przed uruchomieniem szkodliwego oprogramowania za pośrednictwem maszyny wirtualnej. Heilman wyjaśnił, że maszyny wirtualne „nie były przeznaczone do izolowania złośliwego kodu”. Dodał, że „wiele złośliwych programów sprawdza [czy] działa w VM [środowisko] i [odpowiednio] zmienia swoje zachowanie ”. Zasugerował również:
Powinieneś odizolować swój komputer analizujący od komputera, na którym zostanie wykonany kod używając innego komputera do analizy złośliwego oprogramowania i tworząc izolowane środowisko sieciowe.
Co myślicie na temat tej sprawy? Zapraszam do komentowania.
