知名开源软件苍月浏览器存档服务器被黑 黑客潜伏两年但感染情况未知

作者:   深信服科技股份有限公司广州办事处 2019/07/12 14:26:33 64次阅读 国际
文章来源:https://www.landiannews.com/archives/60846.html

知名的开源软件项目苍月浏览器(Pale Moon)日前发布公告称,其存档服务器遭到黑客入侵至今才发现问题。

据推测黑客可能自 2017年12月份 开始潜伏并篡改文件,直到最近苍月团队检测到漏洞才将黑客赶出服务器。

黑客在苍月浏览器的存档服务器上篡改安装文件添加木马文件,主要用来记录用户敲击记录试图偷账号密码。

同时由于存档服务器属于苍月浏览器的内部服务器,被添加木马的可执行文件不具备苍月浏览器的数字签名。

整体影响应该不会太大:

所谓存档服务器即很多历史版本和内容打包备份存放的服务器,绝大多数情况下用户不会访问到这个服务器。

简单来说除非用户主动查找苍月浏览器的历史版本,否则正常情况都会跳转到最新版下载不经过存档服务器。

最新版下载地址这类主要的分发渠道并没有遭到黑客渗透,当然并不是黑客不想而是没有成功渗透主服务器。

根据初步检测报告苍月浏览器 v27.6.2 及更早的版本均有可能遭到感染,当然始终保持更新的话应该没问题。

主要安插银行木马病毒:

在对病毒模块进行分析后苍月浏览器团队发现这是个针对网上银行开发的病毒用来记录用户的银行账号密码。

但攻击者通过远程控制服务器也可下发指令用来安装更多病毒,简单来说如有必要的话黑客可控制用户电脑。

被感染的苍月浏览器可执行文件约增加3 兆左右 ,  如果用户核对哈希值的话可能会发现安装包存在异常问题。

此外由于存档版本均为先签名后归档的版本,因此带有签名的安装包意味着是干净的,相反没有签名则有毒。

暂时无法统计感染规模:

当前由于缺少必要的数据因此还不清楚具体有多少用户被感染,不过正如文章开头所提感染规模应该不会大。

同时苍月浏览器团队已经将相关版本的数字签名转发给安全软件开发商,杀毒软件当前可以查杀带毒的版本。

因此用户如果不放心的话可以使用安全软件进行全盘扫描,如果检测到异常则推荐用户尽快更改各种密码等。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室