A hackerek egy új módot hoztak létre a rosszindulatú kód elrejtésére a blokkláncokban

A kiberbűnözők egy új módszert fedeztek fel arra, hogy rosszindulatú kódokat terjesszenek a gyanútlan felhasználók között. Ezúttal a BNB Smart Chain (BSC) okosszerződések manipulálásával érték el, hogy Etherhiding néven ismert malware kódokat rejtsenek el, és terjesszék a rosszindulatú kódot.

Az „EtherHiding” néven ismert technika magyarázatát a Guardio Labs IT biztonsági cég elemzői osztották meg egy október 15-i jelentésben. Ebben kifejtették, hogy a támadás során a WordPress webhelyeket egy kód injektálásával fertőzik meg, amely részleges információkat nyer ki a blokkláncon tárolt szerződéses tranzakciók kéréseiből (technikailag ezeket a kéréseket a szakzsargon payloads-nak nevezi).

A támadók ezeket a payload kéréseket a BSC okosszerződésekbe rejtik el, amely ez így lényegében anonim, ingyenes tárhelyplatformként szolgál számukra.

A hackerek tetszés szerint frissíthetik a kódot és megváltoztathatják a támadási módszereket. A legújabb támadások hamis böngészőfrissítések formájában érkeztek, ahol a kiszemelt áldozatokat egy hamis céloldal és link segítségével arra kérik, hogy frissítsék a böngészőjüket.

Etherhiding

A payload egy JavaScript kódot tartalmaz, amely további kódot hív le a támadó domainjéből. Ez végül a webhelyek teljes kontrolljához vezet hamis böngészőfrissítési értesítésekkel, amelyek rosszindulatú szoftvereket terjesztenek.

Etherhiding

Könnyen fertőznek ezek a malware kódok

Ez a megközelítés lehetővé teszi a támadók számára a támadási sorozat módosítását azáltal, hogy minden egyes új blokklánc tranzakcióval egyszerűen kicserélik a rosszindulatú kódot. Ez Nati Tal, a Guardio Labs kiberbiztonsági vezetője és Oleg Zaytsev biztonsági elemző szerint komoly kihívást jelent a támadás elhárítása érdekében.

Amint a fertőzött okosszerződések alkalmazásra kerülnek, önállóan kezdenek el működni. A Binance csak annyit tehet, hogy a fejlesztői közösségére támaszkodik, hogy ők azonosítsák a szerződésekben a rosszindulatú kódot, és jelezzék ezt azonnal a kiberbiztonsági csapat részére.

Etherhiding

A Guardio kijelentette, hogy a WordPress-t használó webhely tulajdonosoknak különösen ébernek kell lenniük a saját biztonsági gyakorlataik során. A WordPress nagyjából az összes webhely 43%-át futtatja. A Guardio jelentésében kiemelte:

„A WordPress-oldalak nagyon sebezhetőek és gyakran veszélyeztetettek, mivel elsődleges átjáróként szolgálnak a támadók számára, hogy áldozatok széles körét érjék el”.

A cég arra a következtetésre jutott, hogy a Web3 és a blokklánc új lehetőségeket kínál a rosszindulatú kampányok ellenőrizetlen működéséhez. „Adaptív védelemre van szükség ezen újonnan megjelenő fenyegetésekkel szemben.” – hívták fel a figyelmet.