Pas op: Electrum-portefeuilles doel van schadelijke aanval
Een hacker of een groep van hen mikt sinds 21 december op de populaire Electrum-wallets voor Bitcoin en heeft mogelijk 243.59 BTC gestolen ($912.000). De aanval heeft ertoe geleid dat Electrum-portemonnee-apps een bericht op de computers van gebruikers tonen, waarin ze worden opgeroepen een update te downloaden voor een kwaadaardige portemonnee van een ongeautoriseerde GitHub-opslagplaats (een softwareontwikkelingplatform).
There is an ongoing phishing attack against Electrum users. Our official website is https://t.co/aHiZIZH54e Do not download Electrum from any other source. More on the attack here: https://t.co/x5mPVspKfO
— Electrum (@ElectrumWallet) December 27, 2018
De aanval is vandaag gestopt, althans tijdelijk, nadat GitHub-beheerders de GitHub-opslagplaats van de hacker hebben verwijderd. Echter, beheerders van de Electrum-portemonnee verwachten dat een nieuwe aanval snel van start gaat, met een nieuwe GitHub-repo of een koppeling naar een andere downloadlocatie, volgens Zdnet.
Deze aanval werd mogelijk gemaakt door een kwetsbaarheid in de portefeuille zelf, waardoor Electrum-servers pop-ups met aangepaste tekst in de portemonnee van gebruikers kunnen activeren. Dit betekent dat de aanvallers gebruikers konden vertellen hun schadelijke software te downloaden, wat op zijn beurt aanleiding was om een tweefactorauthenticatiecode (2FA) in te voeren, die later werd gebruikt om het geld te stelen:
Een van de slachtoffers van de diefstal schreef op Reddit over hun beproeving:
"I have used electrum a lot, here is how this went down tonight. I log onto my electrum where I have about 1.4xx btc that I was trying to send. When i attempt to send I get a strange message that says "in order to send please update to the latest version here: https://github.com/electrum-project/electrum" now this link was weird for two reasons, first off it is not the official link from the electrum site and second it didn’t allow me to click it like normal links do/would. I had to copy/paste it into my browser window. I did that and proceeded to download the application here, when I logged on it immediately asked me for my 2 factor code which I thought was a little strange as well as Electrum usually only asks for that when you attempt to send. I kept trying to send and kept getting an error code "max fee exceeded no more than 50 sat/B" I then restored my wallet on a separate pc and found that my balance had been transferred out in full to this address: https://www.blockchain.com/btc/address/14MVEf1X4Qmrpxx6oASqzYzJQZUwwG7Fb5."
Op dit adres zijn echter meer dan 200 BTC verzonden naar een adres dat 243.59 BTC bevat vanaf het moment van schrijven.
Na het ontvangen van nieuws over aanvallen reageerde het Electrum-team door de Electrum-wallet-app ‘in stilte bij te werken’, dus deze berichten – zoals degene die de download van de kwaadaardige code aanspoort – geven niet meer zo rijke HTML-tekst weer, volgens SomberNight, een ontwikkelaar bij het Electrum-portetteam. De ontwikkelaar schreef op GitHub dat Electrum-ontwikkelaars momenteel ten minste 33 kwaadwillende Electrum-servers hebben geïdentificeerd die aan hun netwerk zijn toegevoegd, maar het aantal lijkt rond de 40-50 te zijn.
Jezelf beschermen tegen dergelijke aanvallen kan moeilijk zijn, maar in dit specifieke geval kan een enkele rode vlag worden onderscheiden: de app vroeg om een 2FA-code bij het opstarten van een portemonnee, terwijl 2FA meestal alleen voor een transactie nodig is. Dit is vergelijkbaar met een service die u om uw creditcardgegevens vraagt wanneer u iets anders doet dan betalen – ze hebben geen reden om die gegevens op dat moment nodig te hebben. Blijf waakzaam!
