Badacze z Guardio Labs odkryli nowy atak znany jako „EtherHiding”, który wykorzystuje Binance Smart Chain i Bullet-Proof Hosting do udostępniania złośliwego kodu w przeglądarkach internetowych ofiar.
W przeciwieństwie do wcześniejszego zestawu fałszywych hacków aktualizacyjnych wykorzystujących WordPress, ten wariant wykorzystuje nowe narzędzie: Blockchain Binance. Wcześniej warianty inne niż Blockchain przerywały wizytę na stronie internetowej realistycznie wyglądającym monitem „Aktualizacja” w stylu przeglądarki. Kliknięcie myszką ofiary powoduje zainstalowanie złośliwego oprogramowania.
Ze względu na tanią, szybką i słabo kontrolowaną programowalność Binance Smart Chain, hakerzy mogą udostępnić niszczycielski ładunek kodu bezpośrednio z tego łańcucha bloków.
Żeby było jasne, nie jest to atak MetaMask. Hakerzy po prostu umieszczają w przeglądarkach ofiar szkodliwy kod, który wygląda jak każda strona internetowa, którą haker chce utworzyć — hostowany i udostępniany w sposób nie do zatrzymania. Wykorzystując blockchain Binance do serwowania kodu, hakerzy atakują ofiary w ramach różnych oszustw związanych z wyłudzeniami. Rzeczywiście, EtherHiding atakuje nawet ofiary nieposiadające kryptowalut.
Przeczytaj więcej: Reuters wskazuje na „mroczne tajemnice” otaczające Binance i jego rezerwy
Przejęcie przeglądarki w celu kradzieży informacji
W ciągu ostatnich kilku miesięcy mnożyły się fałszywe aktualizacje przeglądarek. Niczego niepodejrzewający użytkownicy Internetu napotykają wiarygodną, potajemnie zhakowaną witrynę internetową. Widzą fałszywą aktualizację przeglądarki i w roztargnieniu klikają „Aktualizuj”. Hakerzy natychmiast instalują złośliwe oprogramowanie, takie jak RedLine, Amadey lub Lumma. Ten typ złośliwego oprogramowania, znany jako „kradzież informacji”, często ukrywa się za pośrednictwem ataków trojanów, które powierzchownie wyglądają na legalne oprogramowanie.
Wersja EtherHiding tych ataków aktualizacyjnych opartych na WordPressie używa potężniejszego narzędzia do kradzieży informacji, ClearFake. Korzystając z ClearFake, EtherHiding wstrzykuje kod JS do komputerów niczego niepodejrzewających użytkowników.
We wcześniejszej wersji ClearFake część kodu opierała się na serwerach CloudFlare. CloudFlare wykrył i wyeliminował ten złośliwy kod, co pozbawiło część funkcjonalności ataku ClearFake.
Niestety, napastnicy nauczyli się, jak unikać hostów dbających o cyberbezpieczeństwo, takich jak CloudFlare. Znaleźli idealnego gospodarza w Binance.
W szczególności atak EtherHiding przekierowuje swój ruch na serwery Binance. Wykorzystuje zaciemniony kod Base64, który wysyła zapytanie do Binance Smart Chain (BSC) i inicjuje kontrakt BSC z adresem kontrolowanym przez atakujących. W szczególności wywołuje niektóre zestawy programistyczne (SDK), takie jak eth_call firmy Binance, które symulują wykonanie kontraktu i mogą być używane do wywoływania złośliwego kodu.
Jak twierdzili badacze Guardio Labs w swoich postach na Medium, Binance mogłoby złagodzić ten atak, wyłączając zapytania do adresów, które oznaczył jako złośliwe, lub wyłączając pakiet SDK eth_call.
Ze swojej strony Binance oznaczyło niektóre inteligentne kontrakty ClearFake jako złośliwe w BSCScan, dominującym eksploratorze Binance Smart Chain. W tym przypadku ostrzega badaczy blockchain, że adresy atakującego stanowią część ataku phishingowego.
Dostarcza jednak niewiele przydatnych informacji na temat formy ataku. Konkretnie, BSCScan nie wyświetla ostrzeżeń rzeczywistym ofiarom w przypadku wystąpienia włamań: w swoich przeglądarkach internetowych.
Wskazówki dotyczące przeglądarki internetowej, jak unikać ukrywania EtherHiding
WordPress stał się znany z tego, że jest celem atakujących – jedna czwarta wszystkich stron internetowych korzysta z tej platformy.
- Niestety, około jedna piąta witryn WordPress nie została zaktualizowana do najnowszej wersji, co naraża internautów na złośliwe oprogramowanie, takie jak EtherHiding.
- Administratorzy witryn powinni wdrożyć solidne środki bezpieczeństwa, takie jak zabezpieczanie danych logowania, usuwanie zainfekowanych wtyczek, zabezpieczanie haseł i ograniczanie dostępu administratora.
- Administratorzy WordPressa powinni codziennie aktualizować WordPress i jego wtyczki oraz unikać używania wtyczek zawierających luki.
- Administratorzy WordPressa powinni również unikać używania „admin” jako nazwy użytkownika dla swoich kont administracyjnych WordPress.
Poza tym atak EtherHiding/ClearFake jest trudny do zablokowania. Internauci powinni po prostu uważać na niespodziewane powiadomienie „Twoja przeglądarka wymaga aktualizacji”, szczególnie podczas odwiedzania strony korzystającej z WordPressa. Użytkownicy powinni aktualizować swoją przeglądarkę wyłącznie w obszarze ustawień przeglądarki — a nie poprzez kliknięcie przycisku na stronie internetowej, niezależnie od tego, jak realistycznie to wygląda.
Masz wskazówkę? Wyślij do nas e-mail lub ProtonMail. Aby uzyskać więcej informacji, śledź nas dalej X, Instagram, Bluesky, wiadomości Googlelub zasubskrybuj nasz YouTube kanał.
Źródło: https://protos.com/etherhiding-hack-uses-binance-blockchain-to-extort-wordpress-users/