Hackers exploraram uma vulnerabilidade zero-day no cliente BitMessage para roubar as chaves da Carteira Electrum

Os desenvolvedores do BitMessage soltaram uma atualização de emergência para o cliente PyBitMessage que corrige uma vulnerabilidade de execução de código remoto crítica que foi explorada em alguns ataques.

A falha é uma vulnerabilidade crítica de execução de código remoto que, de acordo com especialistas, estava sendo explorada para roubar chaves da carteira de Bitcoin.

De acordo com o comunicado de segurança publicado pelos desenvolvedores os hackers exploraram a falha em ataques contra usuários que usam PyBitMessage 0.6.2.

“Uma vulnerabilidade de execução de código remoto foi detectada em uso contra alguns usuários que executam o PyBitMessage 0.6.2.
A causa foi identificada e uma correção foi adicionada e lançada como 0.6.3.2.
Se você executar o PyBitMessage via código recomendamos que você atualize para o 0.6.3.2.
Alternativamente você pode fazer o downgrade para o 0.6.1 que não é afetado.” , diz o aviso.

A vulnerabilidade de codificação de mensagens foi corrigida com o lançamento da versão 0.6.3.2 e os desenvolvedores destacaram que o PyBitMessage 0.6.1 não é afetado pela vulnerabilidade, o que significa que um downgrade pode resolver este problema também.

De acordo com o assessor de segurança os hackers visavam também o desenvolvedor central do BitMessage, Peter Surda, e suas chaves acabaram sendo comprometidos por isto e foi necessário criar um novo endereço de suporte.

“Os endereços do desenvolvedor Peter Surda devem ser considerados comprometidos”, continua o aviso.

A recomendação é que os usuários devem alterar suas senhas e criar novas chaves BitMessage.

Surda especula que o atacante explorou esta vulnerabilidade zero-day para criar um shell remoto e roubar bitcoins das suas carteiras Electrum.

“A exploração começa por uma mensagem maliciosa se você for o destinatário ( incluindo as joined chans )”, escreveu Surda no tópico Reddit.
“O atacante executou um script automatizado, mas também abriu, ou tentou abrir um shell inverso remoto. O script automatizado olhou em ~/.electrum/wallets, mas ao usar o shell reverso, ele também teve acesso a outros arquivos”.

Os desenvolvedores do Bitmessage ainda estão investigando os ataques.

Via Security Affairs

loading...