Servidor de archivo de Pale Moon pirateado y utilizado para difundir malware

El equipo de Pale Moon Anunciado el 10 de julio de 2019 que su servidor de archivo fue pirateado y utilizado para propagar malware.

El equipo detectó la infracción el 9 de julio de 2019 y cerró el servidor de archivo de inmediato para evitar más infecciones con malware. Un análisis del problema reveló que la infección probablemente ocurrió el 27 de diciembre de 2017.



Actualizar: Un análisis más detallado del problema por parte del equipo de Pale Moon reveló que la violación probablemente fue más reciente de lo que se suponía inicialmente. Las estimaciones sugieren que los servidores se violaron entre abril y junio de 2019, y no en diciembre de 2017. Puede leer el anuncio aquí. Final

El servidor de archivos se utiliza para servir versiones anteriores de Pale Moon; Los principales canales de distribución del navegador no se vieron afectados por la violación.

Esto nunca afectó a ninguno de los principales canales de distribución de Pale Moon, y considerando que las versiones archivadas solo se actualizarían cuando ocurriera el próximo ciclo de lanzamiento, en ningún momento las versiones actuales, sin importar de dónde se recuperaron, quedarían infectadas.

Además, el pirata informático solo infectó archivos ejecutables del navegador y no archivos dentro de archivos. Otros programas alojados en el servidor, el navegador web Basilisk, tampoco se vieron afectados.

pale-moon archive server breach

Según la autopsia, el problema afectó a todos los archivos ejecutables archivados de Pale Moon 27.6.2 y versiones anteriores.



La investigación del equipo en el asunto se vio gravemente afectada por otro incidente el 26 de mayo de 2019 que causó una 'corrupción generalizada de datos' en el servidor de archivo hasta el punto en que el arranque o la transferencia de datos ya no eran posibles.

El hacker logró colarse un script en el servidor que se ejecutaría localmente para infectar los archivos ejecutables en el servidor. La infección aumentó el tamaño del ejecutable en aproximadamente tres Megabytes y plantó una variante de Win32 / ClipBanker.DY dentro del ejecutable.

La ejecución de estos ejecutables infectados arrojará un troyano / puerta trasera en su sistema que potencialmente permitiría comprometerlo aún más.

Computadora que suena notas que el malware crea una tarea programada en el sistema en segundo plano mientras que el instalador de Pale Moon se ejecuta en primer plano.

Los usuarios que nunca descargaron Pale Moon del Archive Server (archive.palemoon.org) están 'casi con certeza a salvo' según el anuncio de Pale Moon.

El equipo recomienda que los usuarios que descargaron el navegador del sitio oficial o del sitio de archivo ejecuten un análisis antivirus completo en sus sistemas para asegurarse de que estén limpios. La firma de la infección es 'conocida por todos los principales proveedores de antivirus' según el anuncio; programas como Avira Antivirus, Avast Free Antivirus, BitDefender gratuitoo Antivirus gratuito de Kaspersky.

También existe la opción de verificar archivos de firmas o la firma digital del ejecutable de Pale Moon. Sin embargo, la firma digital no está disponible para todas las versiones, por lo que su ausencia no implica que el archivo esté infectado. La existencia de una firma digital por otro lado es un claro indicador de que el archivo está limpio.

Las versiones archivadas de Pale Moon son accesibles nuevamente en archive.palemoon.org. Las fechas indican que los directorios se crearon el 10 de julio de 2019.

Palabras de cierre

El canal de distribución principal de Pale Moon no se vio afectado por el hack, lo que significa que la mayoría de los usuarios no se vieron afectados por el problema. El equipo no ha publicado ninguna estadística del servidor de archivos y no está claro cuántos usuarios se vieron potencialmente afectados por la infracción.

Los usuarios de Pale Moon deben ejecutar un análisis de virus completo en el sistema para asegurarse de que sus dispositivos no estén infectados.