Pale Moon的存檔服務(wù)器被黑客入侵并用于傳播惡意軟件

蒼白月亮團(tuán)隊(duì)于2019年7月10日宣布，其存檔服務(wù)器被黑客入侵并用于傳播惡意軟件。

該團(tuán)隊(duì)于2019年7月9日檢測(cè)到漏洞，并立即關(guān)閉了存檔服務(wù)器以防止惡意軟件進(jìn)一步感染。對(duì)問(wèn)題的分析顯示，感染極有可能發(fā)生在2017年12月27日。更新：Pale Moon團(tuán)隊(duì)對(duì)該問(wèn)題進(jìn)行了進(jìn)一步分析，發(fā)現(xiàn)該漏洞可能比最初設(shè)想的要新。估計(jì)表明這些服務(wù)器在2019年4月至6月之間而不是在2017年12月之間遭到破壞。您可以在此處閱讀聲明。結(jié)束

存檔服務(wù)器用于提供較舊版本的Pale Moon;瀏覽器的主要分發(fā)渠道不受此漏洞的影響。

這從未影響過(guò)Pale Moon的任何主要發(fā)行渠道，并且考慮到歸檔版本僅在下一個(gè)發(fā)行周期發(fā)生時(shí)才會(huì)更新，無(wú)論何時(shí)何地，無(wú)論從何處獲取最新版本，都不會(huì)受到感染。

此外，黑客僅感染瀏覽器的可執(zhí)行文件，而不感染檔案中的文件。服務(wù)器上托管的其他程序，即Web瀏覽器Basilisk，也未受影響。

淺色存檔服務(wù)器漏洞

根據(jù)事后調(diào)查，該問(wèn)題影響了Pale Moon 27.6.2和更早版本的所有已歸檔可執(zhí)行文件。

團(tuán)隊(duì)在此問(wèn)題上的調(diào)查受到2019年5月26日另一起事件的嚴(yán)重影響，該事件導(dǎo)致存檔服務(wù)器上的“廣泛數(shù)據(jù)損壞”，以致無(wú)法進(jìn)行引導(dǎo)或數(shù)據(jù)傳輸。

黑客設(shè)法將腳本潛伏在服務(wù)器上，該腳本將在本地運(yùn)行以感染服務(wù)器上的可執(zhí)行文件。感染使可執(zhí)行文件的大小增加了大約3 MB，并在可執(zhí)行文件中植入了Win32 / ClipBanker.DY的變體。

運(yùn)行這些受感染的可執(zhí)行文件將在您的系統(tǒng)上放置一個(gè)特洛伊木馬/后門(mén)程序，這可能會(huì)對(duì)其造成進(jìn)一步的損害。

Bleeping Computer 指出，當(dāng)Pale Moon的安裝程序在前臺(tái)運(yùn)行時(shí)，該惡意軟件會(huì)在后臺(tái)在系統(tǒng)上創(chuàng)建計(jì)劃任務(wù)。

根據(jù)Pale Moon的聲明，從未從存檔服務(wù)器(archive.palemoon.org)下載Pale Moon的用戶(hù)“幾乎可以肯定”。

該小組建議從官方站點(diǎn)或存檔站點(diǎn)下載瀏覽器的用戶(hù)在其系統(tǒng)上運(yùn)行完整的病毒掃描，以確保它們是干凈的。該公告稱(chēng)，感染簽名是“所有主要防病毒軟件供應(yīng)商都知道的”。諸如Avira Antivirus，Avast Free Antivirus，BitDefender Free或Kaspersky Free Antivirus之類(lèi)的程序。

還可以選擇檢查簽名文件或Pale Moon可執(zhí)行文件的數(shù)字簽名。但是，數(shù)字簽名并非對(duì)所有發(fā)行版都可用，因此，數(shù)字簽名的缺失并不表示文件已被感染。另一方面，數(shù)字簽名的存在清楚地表明文件是干凈的。

可以在archive.palemoon.org上再次訪問(wèn)Pale Moon的存檔版本。日期表明目錄創(chuàng)建于2019年7月10日。

結(jié)束語(yǔ)

Pale Moon的主要發(fā)行渠道不受黑客影響，這意味著大多數(shù)用戶(hù)不受此問(wèn)題影響。該團(tuán)隊(duì)尚未發(fā)布任何存檔服務(wù)器統(tǒng)計(jì)信息，目前尚不清楚有多少用戶(hù)可能受到此漏洞的影響。