Los investigadores de Guardio Labs han descubierto un nuevo ataque conocido como ‘EtherHiding’, que utiliza Binance Smart Chain y Bullet-Evidence Hosting para enviar código malicioso dentro de los navegadores website de las víctimas.
A diferencia de un conjunto anterior de hacks de actualizaciones falsos que explotaban WordPress, esta variante utiliza una nueva herramienta: La cadena de bloques de Binance. Anteriormente, las variantes que no eran blockchain interrumpían la visita a una página world-wide-web con un mensaje de «Actualización» de aspecto realista y estilo navegador. El clic del mouse de una víctima instaló malware.
Debido a la programabilidad barata, rápida y mal controlada de Binance Clever Chain, los piratas informáticos pueden entregar una carga útil devastadora de código directamente desde esta cadena de bloques.
Para ser claros, este no es un ataque de MetaMask. Los piratas informáticos simplemente introducen código malicioso dentro de los navegadores internet de las víctimas que se parece a cualquier página net que el pirata informático quiera crear: alojado y servido de manera imparable. Utilizando la cadena de bloques de Binance para servir código, los piratas informáticos atacan a las víctimas mediante diversas estafas de extorsión. En efecto, EtherHiding incluso apunta a víctimas que no tienen criptomonedas.
Leer más: Reuters insinúa ‘secretos oscuros’ que rodean a Binance y sus reservas
Secuestrar el navegador para robar su información
En los últimos meses han proliferado las actualizaciones falsas de los navegadores. Los usuarios desprevenidos de World wide web se encuentran con un sitio website creíble y secretamente comprometido. Ven una actualización fraudulenta del navegador y, distraídamente, hacen clic en «Actualizar». Inmediatamente, los piratas informáticos instalan malware como RedLine, Amadey o Lumma. Este tipo de malware, conocido como «robo de información», a menudo se esconde mediante ataques troyanos que tienen la apariencia superficial de software legítimo.
La versión EtherHiding de estos ataques de actualización basados en WordPress utiliza un ladrón de información más potente, ClearFake. Usando ClearFake, EtherHiding inyecta código JS en las computadoras de los usuarios desprevenidos.
En una versión anterior de ClearFake, parte del código dependía de servidores CloudFlare. CloudFlare detectó y eliminó ese código malicioso, lo que destruyó algunas de las funciones del ataque ClearFake.
Desafortunadamente, los atacantes han aprendido cómo evadir servidores preocupados por la ciberseguridad como CloudFlare. Encontraron un anfitrión perfecto en Binance.
El ataque EtherHiding en certain redirige su tráfico a los servidores de Binance. Utiliza un código Foundation64 ofuscado que consulta Binance Wise Chain (BSC) e inicializa un contrato BSC con una dirección controlada por los atacantes. En specific, llama a algunos kits de desarrollo de application (SDK) como eth_connect with de Binance, que simulan la ejecución de contratos y pueden usarse para llamar a código malicioso.
Como suplicaron los investigadores de Guardio Labs en sus publicaciones en Medium, Binance podría mitigar este ataque deshabilitando las consultas a direcciones que ha marcado como maliciosas o deshabilitando el SDK eth_connect with.
Por su parte, Binance ha marcado algunos contratos inteligentes ClearFake como maliciosos en BSCScan, el explorador dominante de Binance Clever Chain. Aquí, advierte a los exploradores de blockchain que las direcciones del atacante son parte de un ataque de phishing.
Sin embargo, proporciona poca información útil sobre la forma del ataque. Específicamente, BSCScan no muestra advertencias a las víctimas reales donde ocurren los ataques: dentro de sus navegadores world-wide-web.
Consejos del navegador internet para evitar EtherHiding
WordPress se ha vuelto famoso por ser un objetivo para los atacantes, ya que una cuarta parte de todos los sitios world wide web utilizan la plataforma.
- Desafortunadamente, aproximadamente una quinta parte de los sitios world wide web de WordPress no se han actualizado a la última versión, lo que expone a los internautas a malware como EtherHiding.
- Los administradores del sitio deben implementar medidas de seguridad sólidas, como mantener seguras las credenciales de inicio de sesión, eliminar complementos comprometidos, proteger las contraseñas y limitar el acceso de administrador.
- Los administradores de WordPress deben actualizar WordPress y sus complementos diariamente y evitar el uso de complementos con vulnerabilidades.
- Los administradores de WordPress también deben evitar el uso de «admin» como nombre de usuario para sus cuentas de administración de WordPress.
Más allá de eso, el ataque EtherHiding/ClearFake es difícil de bloquear. Los usuarios de Web simplemente deben tener cuidado con cualquier notificación inesperada de «Su navegador necesita una actualización», especialmente cuando visitan un sitio world wide web que utiliza WordPress. Los usuarios sólo deben actualizar su navegador desde el área de configuración del navegador. – no haciendo clic en un botón dentro de un sitio world-wide-web, sin importar cuán realista parezca.
¿Tienes un consejo? Envíenos un correo electrónico o ProtonMail. Para más noticias informadas, síguenos en X, Instagram, Cielo azuly noticias de Googleo suscríbete a nuestro YouTube canal.
