Хакер #305. Многошаговые SQL-инъекции
Злоумышленники на время захватили официальный сайт проекта Bitcoin (Bitcoin[.]org) и внедрили на страницы ресурса рекламу мошеннической раздачи криптовалюты. Хотя взлом длился меньше суток, хакерам успели поверить некоторые пользователи, и мошенники «заработали» около 17 000 долларов.
Издание Bleeping Computer пишет, что 23 сентября на главной странице сайта появилось следующее сообщение:
«Bitcoin Foundation отплатит сообществу! Мы хотим поддержать наших пользователей, которые помогали нам на протяжении многих лет. Отправьте биткоин на указанный адрес, и мы вернем вам вдвое большую сумму!».
В сообщении пользователям предлагали причислять средства на адрес 1NgoFwgsfZ19RrCUhTmmuLpmdek45nRd5N, принадлежащий злоумышленникам.
Вскоре после взлома сайта оператор Bitcoin[.]org, известный под ником Cøbra, сообщил в Twitter о компрометации ресурса.
https://t.co/OsFgRFRRZb has been compromised. Currently looking into how the hackers put up the scam modal on the site. May be down for a few days.
— Cøbra (@CobraBitcoin) September 23, 2021
После этого сообщения Cøbra на проблему отреагировал и доменный регистратор Namecheap, быстро отключив домен до тех пор, пока проблема не была устранена.
Hello, Thank you for reporting this matter. We have temporarily disabled the domain.
— Namecheap.com (@Namecheap) September 23, 2021
И хотя взлом был обнаружен довольно быстро, а меры приняты, к сожалению, баланс кошелька злоумышленников свидетельствует о том, что некоторые пользователи все же успели попасться на удочку мошенников. История транзакций демонстрирует несколько переводов, сделанных с разных биткоин-адресов. В итоге баланс кошелька хакеров составил 0,40571238 BTC, то есть примерно 17 000 долларов США по текущему курсу.
В настоящее время Bitcoin[.]org уже работает в штатном режиме. Как именно злоумышленникам удалось скомпрометировать ресурс остается неясным, и некоторые ИБ-эксперты подозревают, что имела место DNS-атака.
Update: https://t.co/Tp6AcWSV3o is currently offline
— vx-underground (@vxunderground) September 23, 2021
* Appears to be DNS hijack as noted by @nukedotasia
* Scammers probably didn't make off with as much money as the BTC wallet shows as noted by @SadFrogFacts
Read thread for more details