image

Oudere versies Pale Moon-browser besmet met malware

donderdag 11 juli 2019, 09:54 door Redactie, 7 reacties

Aanvallers hebben anderhalf jaar geleden de officiële archiefserver van de Pale Moon-browser gecompromitteerd en alle oude Windows-versies van de browser van malware voorzien, zo is nu pas bekend geworden. De inbraak vond plaats op 27 december 2017 en werd op 9 juli 2019 ontdekt.

De aangepaste Pale Moon-versies waren voorzien van de ClipBanker-malware, die gekopieerde bitcoin-adressen in het clipboard aanpast. Gebruikers van cryptocurrency die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het wallet-adres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het wallet-adres zich in het clipboard van de computer. ClipBanker monitort op besmette computers het clipboard en zodra de malware ziet dat een gebruiker een wallet-adres kopieert, verandert het dit adres. Tevens zou de malware als backdoor fungeren waardoor het systeem verder kan worden gecompromitteerd.

Na ontdekking van de geïnfecteerde versies werd de archiefserver uit de lucht gehaald. Hoe de aanvallers de server wisten te compromitteren is onbekend. In mei van dit jaar kreeg de archiefserver met grootschalige datacorruptie te maken waardoor die niet meer kon worden gestart of uitgelezen. Daardoor zijn de systeemlogs van de aanval verloren gegaan. De ontwikkelaar van de browser vermoedt dat de aanvallers ook achter het incident in mei zitten.

Alle gearchiveerde exe-bestanden werden door de aanvallers op de archiefserver aangepast, zowel de installers als portable versies. Bestanden binnen archiefbestanden werden niet geïnfecteerd. Na het incident afgelopen mei met de archiefserver werd besloten een nieuwe server op te zetten. Daarbij werden de archiefbestanden uit een back-up teruggeplaatst. Op het moment van de back-up waren de gearchiveerde browserversies al besmet, waardoor die ook op de nieuwe server terechtkwamen.

Volgens de ontwikkelaar zijn de aanvallers waarschijnlijk via de provider binnengekomen. "Mijn vertrouwen in de VM-provider is niet voldoende meer om ze zelfs voor een handige opslagserver te gebruiken. Hoewel de CentOS-setup aanzienlijk is beveiligd, voorkomt het nog steeds geen lokale toegang of toegang tot het beheerderspaneel als dat de zwakke plekken in hun setup zijn."

Gebruikers die niets van archive.palemoon.org hebben gedownload zouden geen risico lopen. Toch krijgen alle gebruikers van de browser het advies om de digitale handtekening te controleren of een virusscan uit te voeren. De opgeschoonde archiefserver komt binnenkort weer online. Pale Moon is een op Firefox gebaseerde browser.

Reacties (7)
11-07-2019, 11:06 door Anoniem
Zou het mischien wel handig zijn als ze ook gpg-signaturen voor alle known-good versies publiceren, niet alleen de laatste. En dat dan op een aparte server. En zelf regelmatig, zeg eens in de maand, per script alle gepubliceerde versies tegen de lijst van known-good hashes houden. Per extern script, dus zodanig dat het script dezelfde data ziet als willekeurige sponzers.*

Maargoed, de enige manier om ze te bereiken is per registratie-vereisend forum waar ze zich drukker lijken te maken over De Toon dan over de inhoud. Ik zie dat en dit "incidentje" maar als goede reden naar een andere browser uit te kijken.

Suggesties, iemand? Ik wil adblock-functionaliteit en verder weinig poespas, en als het even kan helemaal geen rust en andere ideologisch getinte technofapperij. Ondersteuning voor minimaal linux én windows, iig met 32bit-support. (64bit mag, maar 32bit moet.) Open source is ook wel fijn ja. En een bijbehorend project waar ze toch wel een klein beetje weten wat ze doen.


* "Sponzen" is een obscure maar de correcte Nederlandse term voor "downloaden". Heb je ook weer wat geleerd vandaag.
11-07-2019, 11:55 door Anoniem
Misleidende titel. Het gaat alleen om versies die men zelf/handmatig uit het Archive heeft gedownload - niet de normale versies c.q. de automatisch geupdate browser.
11-07-2019, 12:52 door Anoniem
ik zie een kleine browser volwassen worden.. Gebruik PaleMoon sinds 2014 toen iemand hier op security daar melding over maakte. Nu gebruik ik de browser naast Firefox... lukt iets niet (website openen o.i.d.) dan pak ik de palemoon browser en werk ik in tandem. Misschien geen leuk nieuws dit, maar ik blijf nog altijd van mening dat dit een bijzondere browser is die ik graag gebruik. Kan hem iedereen aanbevelen.
11-07-2019, 13:50 door Anoniem
Door Anoniem: Misleidende titel. Het gaat alleen om versies die men zelf/handmatig uit het Archive heeft gedownload - niet de normale versies c.q. de automatisch geupdate browser.
Je bedoel dus eigenlijk alle "Oudere versies Pale", zoals de titel ook aangeeft.

Door Anoniem: ik zie een kleine browser volwassen worden.. Gebruik PaleMoon sinds 2014 toen iemand hier op security daar melding over maakte. Nu gebruik ik de browser naast Firefox... lukt iets niet (website openen o.i.d.) dan pak ik de palemoon browser en werk ik in tandem. Misschien geen leuk nieuws dit, maar ik blijf nog altijd van mening dat dit een bijzondere browser is die ik graag gebruik. Kan hem iedereen aanbevelen.
Misschien volwassen aan het worden, maar duidelijk nog lang niet volwas. Dit soort dingen of fouten mogen gewoon niet kunnen gebeuren.
Als je daarna ook nog even een VM provider de schuld probeert af te schuiven, dan klopt er duidelijk iets niet met de beheers processen of controles.
11-07-2019, 18:26 door Anoniem
Wie twitter heeft geblokkeerd kan rechtstreeks hier kijken:
https://forum.palemoon.org/viewtopic.php?f=17&t=22526

(inclusief "How do I verify my downloaded files are clean?")
11-07-2019, 20:43 door Anoniem
Door Anoniem:
Door Anoniem: Misleidende titel. Het gaat alleen om versies die men zelf/handmatig uit het Archive heeft gedownload - niet de normale versies c.q. de automatisch geupdate browser.
Je bedoel dus eigenlijk alle "Oudere versies Pale", zoals de titel ook aangeeft.

Door Anoniem: ik zie een kleine browser volwassen worden.. Gebruik PaleMoon sinds 2014 toen iemand hier op security daar melding over maakte. Nu gebruik ik de browser naast Firefox... lukt iets niet (website openen o.i.d.) dan pak ik de palemoon browser en werk ik in tandem. Misschien geen leuk nieuws dit, maar ik blijf nog altijd van mening dat dit een bijzondere browser is die ik graag gebruik. Kan hem iedereen aanbevelen.
Misschien volwassen aan het worden, maar duidelijk nog lang niet volwas. Dit soort dingen of fouten mogen gewoon niet kunnen gebeuren.
Als je daarna ook nog even een VM provider de schuld probeert af te schuiven, dan klopt er duidelijk iets niet met de beheers processen of controles.
De ontwikkelaar vraagt om input van derden, en noemt geen namen in het twitter artike. Wat let je om te helpen?. Misschien had de ontwikkelaar de malware makers en hackers op de korrel moeten nemen, maar die zijn niet te vinden. zoals gebruikelijk. Ik gebruik de browser sinds 2014 en ben onder de indruk ookal is FF in sommige dingen iets beter.
12-07-2019, 11:21 door Anoniem
Door Anoniem: Ik zie dat en dit "incidentje" maar als goede reden naar een andere browser uit te kijken.

Suggesties, iemand? Ik wil adblock-functionaliteit en verder weinig poespas, en als het even kan helemaal geen rust en andere ideologisch getinte technofapperij. Ondersteuning voor minimaal linux én windows, iig met 32bit-support. (64bit mag, maar 32bit moet.) Open source is ook wel fijn ja. En een bijbehorend project waar ze toch wel een klein beetje weten wat ze doen.



Waterfox, 64 bit (Win/Lin/Mac) heeft alle telemetrie van Mozilla eruit gesloopt en is een prima browser in combinatie met extensions HTTPS Everywhere, uMatrix (dynamisch blokkeren), uBlockOrigin (filters) en Decentraleyes. Eventueel Canvasblocker, ClearURLs, CSS Exfil Protection en Skip Redirect.

Ontwikkelaar is bovendien kundig en (emotioneel) zeer volwassen... in tegenstelling tot ontwikkelaar van Palemoon.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.