Un actor de amenazas ha estado abusando de la tecnología blockchain patentada para ocultar código malicioso en una campaña que utiliza actualizaciones falsas del navegador para difundir varios programas maliciosos, incluidos los ladrones de información RedLine, Amadey y Lumma.
Si bien el abuso de blockchain se observa típicamente en ataques destinados a robar criptomonedas (ya que la tecnología de seguridad es más conocida por proteger estas transacciones), EtherHiding demuestra cómo los atacantes pueden aprovecharla para otros tipos de actividad maliciosa.
Los investigadores de Guardio han estado siguiendo una campaña denominada ClearFake durante los últimos dos meses en la que se engaña a los usuarios para que descarguen actualizaciones falsas y maliciosas del navegador desde al menos 30 sitios de WordPress secuestrados.
La campaña utiliza una técnica llamada «EtherHiding», que «presenta un giro novedoso en el servicio de código malicioso» mediante el uso de contratos Binance Wise Chain (BSC) de Binance, uno de los sitios de criptomonedas más grandes del mundo, para alojar partes de un código malicioso. cadena «en lo que es el siguiente nivel de hosting a prueba de balas», según una publicación reciente de Guardio.
«BSC es propiedad de Binance y se centra en contratos: acuerdos codificados que ejecutan acciones automáticamente cuando se cumplen ciertas condiciones», explicó Guardio en la publicación. «Estos contratos ofrecen formas innovadoras de crear aplicaciones y procesos. Debido a la naturaleza inmutable y de acceso público de la cadena de bloques, el código se puede alojar ‘en la cadena’ sin la posibilidad de ser eliminado».
Los atacantes aprovechan esto en su ataque alojando y entregando código malicioso de una manera que no se puede bloquear, lo que dificulta detener la actividad. «Esta campaña está activa y es más difícil que nunca detectarla y derribarla», según la publicación.
Los atacantes recurrieron a esta táctica cuando su método inicial de introducir código en hosts de Cloudflare Employee abusados fue eliminado, señalaron los investigadores. «Rápidamente han girado para aprovechar la naturaleza descentralizada, anónima y pública de blockchain», según la publicación.
Cómo funciona el ciberataque EtherHiding
El ataque comienza cuando los actores de amenazas utilizan sitios de WordPress comprometidos para incrustar un código JavaScript oculto que se inyecta en las páginas, lo que recupera una carga útil de segunda etapa de un servidor controlado por el atacante. A partir de ahí, los atacantes desfiguran los sitios world wide web con «una superposición muy creíble que exige una actualización del navegador antes de poder acceder al sitio», según Guardio.
«Al utilizar este método, el atacante puede modificar de forma remota e instantánea el proceso de infección y mostrar cualquier mensaje que desee», según la publicación. «Puede cambiar tácticas, actualizar dominios bloqueados y cambiar cargas útiles detectadas sin volver a acceder a los sitios de WordPress».
Bloquear el abuso de Blockchain
Si bien blockchain y otras tecnologías World wide web 3. aportan innovación, también abundan los abusos por parte de actores de amenazas que se adaptan continuamente para aprovechar sus beneficios para actividades nefastas.
«Más allá de este exploit específico, blockchain puede usarse indebidamente de innumerables maneras, desde etapas de propagación de malware hasta la filtración de datos de credenciales y archivos robados, eludiendo todos los métodos tradicionales de cierre de las fuerzas del orden», según Guardio.
Una forma sencilla de bloquear el ataque ClearFake sería que Binance deshabilite cualquier consulta a direcciones ya etiquetadas como «maliciosas» o deshabilite el eth_get in touch with
Método de depuración para contratos no validados, según la publicación. Los investigadores no revelaron si se comunicaron con Binance sobre esta posible solución.
Según Guardio, proteger los sitios de WordPress, que son propensos a vulnerabilidades y, por lo tanto, maduros para la explotación, también bloquearía la puerta de entrada para que amenazas como ésta tengan un amplio impacto en las víctimas.
Con este fin, los investigadores recomiendan proteger los sitios manteniendo actualizada la infraestructura y los complementos de WordPress, salvaguardando las credenciales, utilizando contraseñas sólidas que se cambian periódicamente y, en basic, vigilando de cerca lo que sucede en los sitios para detectar actividad maliciosa.