Alerta rojaopensource

Uno de los mayores repositorios open-source de la red es el sitio web Fosshub, y al cual redirigen la mayoría de programas de código abierto, tales como Audacity, Calibre, Classic Shell, MKVToolNix, qBittorrent, HWiNFO, Spybot Search and Destroy, SM Player, IrfanView, Usb Fix, WinDirStat y muchos otros. Todos estos programas populares se han visto comprometidos con malware que pueden llegar a inclusive impedir el arranque del sistema operativo Windows de la PC.

fosshub

El grupo de hackers llamado PeggleCrew, (que tienen la cuenta suspendida en Twitter), han podido acceder a los servidores y modificar los archivos que descargaban los usuarios introduciendo malware en ellos. Los atacantes han asegurado que consiguieron acceder gracias a “un servicio de red sin autenticación que estaba expuesto a Internet”. A partir de ese acceso no autorizado, lograron acceder al código fuente y obtener las credenciales de acceso a la web, lo cual les permitió acceder a toda la infraestructura de FossHub.

A raíz de esto, este grupo ha estado comentando todos los problemas que han tenido los usuarios y mofándose de ellos. Han comentado además, que han accedido al correo personal del administrador de la web, y aunque no han hecho pública ninguna información personal, aseguran que las contraseñas no estaban cifradas.

Todos los programas del sitio web fueron sustituidos

Este grupo de hackers inicialmente, sólo sustituyeron los instaladores de Audacity y Classic Shell, subiéndolos a través de la interfaz de la que disponen los desarrolladores para subir su contenido. El instalador legitimo de Classic Shell ocupa 6.88 MB, mientras que el infectado ocupaba 6.81 MB. Con el mismo nombre, mismo icono, y prácticamente el mismo tamaño. Lo que los diferencia es que el archivo infectado no ejecutaba ningún instalador.

Cuando los administradores de FossHub descubrieron este problema con los instaladores revirtieron los cambios, y a partir de ahí es cuando el grupo de hackers Cult of Peggle reemplazó todos los ejecutables de los servidores de FossHub con un reemplazador del MBR (Master Boot Record). Por ser nuevo, este código malicioso pasa prácticamente desapercibido por los antivirus.

MBR-Overwritten

Si los usuarios ejecutaban e instalaban el programa descargado de la web y reiniciaban la computadora se encontraban con un mensaje que los atacantes habían escrito, y no podían iniciar la PC. Esto es consecuencia de que el malware reescribía el código del MBR (Master Boot Record).

 Fuente: Segu-Info