Ladri sfruttano un bug per svuotare i bancomat Bitcoin

Bitcoin mining
(Immagine:: Pixabay)
  • Di che si tratta? Una vulnerabilità zero-day ha permesso a dei ladri di rubare criptovalute da bancomat specializzati
  • Perché è importante? Un incidente del genere potrebbe minare la fiducia degli utenti

Una vulnerabilità di sicurezza in una serie di postazioni bancomat Bitcoin ha consentito a dei cybercriminali di rubare token preziosi agli utenti, questo è ciò che emerge dalla cronaca recente.

Attraverso un annuncio, General Bytes, produttore dei bancomat in questione, ha dichiarato che dei criminali sconosciuti hanno scoperto una vulnerabilità zero-day nei dispositivi, sfruttandola per svuotare le criptovalute dagli account degli utenti.

Come spiegato dall'azienda, i bancomat sono controllati da un server CAS (Crypto Application Server) remoto e i responsabili del furto hanno scoperto una falla proprio nel CAS.

"Il responsabile dell'attacco è stato in grado di creare un utente amministratore da remoto tramite l'interfaccia amministrativa del CAS, attraverso una chiamata URL all pagina utilizzata per l'installazione predefinita sul server. In questo modo, ha creato il primo utente di amministrazione", dichiara General Bytes. "Questa vulnerabilità è presente nel software del CAS dalla versione 20201208".

Furto di coin

In seguito, chiunque avesse tentato di depositare o ritirare criptovaluta tramite il bancomat, avrebbe solo deviato i fondi verso un wallet appartenente agli hacker.

"I bancomat hanno iniziato a inoltrare i coin al wallet dell'hacker quando i clienti li inviavano al bancomat", spiega ulteriormente l'azienda.

General Bytes è stata contattata da un utente che si è visto sottrarre i fondi. Non è chiaro quante persone siano state coinvolte dalla violazione o l'ammontare di criptovalute che i ladri sono riusciti a trafugare.

Da allora, però, è stata pubblicata una patch. L'azienda ha aggiornato il CAS alle versioni 20220531.38 e 20220725.22 e ha sollecitato i fornitori di servizi bancomat a rimuovere i dispositivi fino all'applicazione delle patch. La maggior parte delle macchine non patchate, circa una ventina, è localizzata in Canada, a quanto pare.

Inoltre, come segnalato da BleepingComputer reported, l'attacco non sarebbe stato possibile se i server fossero protetti da firewall, con le autorizzazioni a stabilire una connessione concesse solo a indirizzi IP conosciuti e attendibili.

Fonte BleepingComputer

Marco Doria
Senior editor

Senior Editor and Professional Translator. Boardgaming enthusiast, Tech-lover.

Con il supporto di