安全客

通过劫持BlackWallet的DNS服务器,黑客窃取40万美金


译文声明
本文是翻译文章,文章原作者Catalin Cimpanu,文章来源:bleepingcomputer.com
原文地址:https://www.bleepingcomputer.com/news/security/hackers-hijack-dns-server-of-blackwallet-to-steal-400-000/

BlackWallet.co是一款基于Web的Stellar Lumen币(XLM)钱包应用。一个或多个未知的黑客劫持了它的DNS服务器,并从其用户账户中窃取了超过40万美金。

通过劫持BlackWallet的DNS服务器,黑客窃取40万美金-舜目安全

这次攻击发生于1月13日周六下午晚些时候,攻击者们劫持了BlackWallet.co域名对应的DNS项将域名解析到他们自己的服务器上。

在BlackWallet团队重新获取对他们域名的控制并关闭站点前,安全研究员Kevin Beaumont分析了攻击代码,他说:“BlackWallet被DNS劫持后的页面中被嵌入了恶意代码。”同时他补充道:“如果你的账户上有超过20个Lumen币,注入的代码将把它们转移到另一个钱包内。”

 

攻击者窃取了将近67万Lumen币

攻击者的钱包地址为“GBH4TZYZ4IRCPO44CBOLFUHULU2WGALXTAVESQA6432MBJMABBB4GIYI

根据Bleeping Computer的计算,截至本文写作时,攻击者已经获得了669,920 Lumen币,按照目前XML兑美元的汇率换算,约为400,192美金。

BlackWallet团队和其他XLM持有者已经开始在RedditTwitterGithubStellar社区GalacticTalk论坛上发警告来提醒用户,但是收效甚微,因为仍然持续有用户访问被劫持的BlackWallet.co域名,输入他们的登录凭证,紧接着发现他们的资金神秘地从钱包中消失了。

 

为隐藏踪迹,黑客开始洗钱

几个小时后,攻击者开始将资金从XLM账户中转移到加密货币交易平台Bittrex,在该平台他们很可能会把窃取的资金兑换成另一个数字货币来隐藏踪迹。

BlackWallet管理员正在拼命地尝试联系Bittrex,以对黑客的账户进行限制。据BlackWallet的管理员说,这次事件发生在有人取得了他的主机提供者账户之后。

“我正在与我的主机提供者联系,以取得尽可能多的关于黑客的信息,然后看看能做些什么”他补充道。“请注意,Blackwallet只是一个账户查看器,没有任何密钥保存在服务器上。”

根据CoinMarketCap,Stellar Lumen币如今是第八大最受欢迎的加密货币。

在2017年7月,BlackWallet也被曾入侵[1, 2],但是我们没有找到关于那次事件的任何详细信息。在2017年圣诞节前,EtherDelta遭受过一次简单的DNS劫持攻击,但是至今我们仍然不知道那次攻击中攻击者窃取了多少资金。Classic Ether WalletEtherparty ICO website也遭遇过DNS劫持攻击。

 

安全客
【技术分享】利用服务器漏洞挖矿黑产案例分析
安全客
i春秋互联网安全责任峰会精彩回顾
安全客
[漏洞预警]雪藏11年:Linux kernel DCCP double-free 权限提升漏洞(CVE-2017-6074)