Дослідники з Guardio Labs виявили нову атаку, відому як «EtherHiding», яка використовує Binance Smart Chain і Bullet-Proof Hosting для розміщення шкідливого коду у веб-браузерах жертв.
На відміну від попереднього набору підроблених оновлень, які використовували WordPress, цей варіант використовує новий інструмент: Блокчейн Binance. Раніше варіанти без блокчейну переривали відвідування веб-сторінки реалістичним запитом «Оновити» у стилі браузера. Жертва клацанням миші встановлює шкідливе програмне забезпечення.
Завдяки дешевій, швидкій та погано контрольованій програмованості Binance Smart Chain хакери можуть розміщувати руйнівний корисний код безпосередньо з цього блокчейну.
Щоб було зрозуміло, це не атака MetaMask. Хакери просто розміщують шкідливий код у веб-браузерах жертв, який виглядає як будь-яка веб-сторінка, яку хоче створити хакер, — розміщується та обслуговується безперешкодним чином. Використовуючи блокчейн Binance для обслуговування коду, хакери атакують жертв для різних шахрайських шахрайств. Дійсно, EtherHiding націлений навіть на жертв, які не мають криптохолдингу.
Докладніше: Reuters натякає на «темні таємниці» навколо Binance та її резервів
Викрадення браузера для викрадення вашої інформації
Протягом останніх кількох місяців фальшиві оновлення браузера поширилися. Нічого не підозрюючи користувачі Інтернету стикаються з правдоподібним таємно скомпрометованим веб-сайтом. Вони бачать шахрайське оновлення веб-переглядача та неуважно натискають «Оновити». Хакери негайно встановлюють шкідливі програми, такі як RedLine, Amadey або Lumma. Цей тип зловмисного програмного забезпечення, відомий як «infostealer», часто ховається через троянські атаки, які мають зовнішній вигляд легітимного програмного забезпечення.
Версія EtherHiding цих атак оновлення на основі WordPress використовує більш потужний інформаційний викрадач ClearFake. Використовуючи ClearFake, EtherHiding впроваджує код JS у комп’ютери користувачів, які нічого не підозрюють.
У попередній версії ClearFake деякий код покладався на сервери CloudFlare. CloudFlare виявив і усунув цей шкідливий код, який порушив деякі функції атаки ClearFake.
На жаль, зловмисники навчилися уникати хостів, які піклуються про кібербезпеку, таких як CloudFlare. Вони знайшли ідеального хоста в Binance.
Особливо атака EtherHiding перенаправляє свій трафік на сервери Binance. Він використовує обфусцований код Base64, який запитує Binance Smart Chain (BSC) та ініціалізує контракт BSC з адресою, контрольованою зловмисниками. Зокрема, він викликає деякі комплекти розробки програмного забезпечення (SDK), такі як eth_call Binance, які імітують виконання контракту та можуть використовуватися для виклику шкідливого коду.
Як заявляли дослідники Guardio Labs у своїх публікаціях Medium, Binance може пом’якшити цю атаку, вимкнувши запити до адрес, які було позначено як шкідливі, або вимкнувши eth_call SDK.
Зі свого боку, Binance позначила деякі смарт-контракти ClearFake як шкідливі на BSCScan, домінуючому досліднику Binance Smart Chain. Тут він попереджає дослідників блокчейну, що адреси зловмисника є частиною фішингової атаки.
Однак він надає мало корисної інформації про форму атаки. Зокрема, BSCScan не відображає попереджень для реальних жертв, де відбуваються зломи: у своїх веб-переглядачах.
Поради веб-браузеру, як уникнути EtherHiding
WordPress став мішенню для зловмисників, оскільки одна чверть усіх веб-сайтів використовує цю платформу.
- На жаль, приблизно одна п’ята веб-сайтів WordPress не оновлено до останньої версії, що наражає користувачів Інтернету на зловмисне програмне забезпечення, таке як EtherHiding.
- Адміністратори сайту повинні впроваджувати надійні заходи безпеки, такі як захист облікових даних для входу, видалення скомпрометованих плагінів, захист паролів і обмеження доступу адміністратора.
- Адміністратори WordPress повинні щодня оновлювати WordPress та його плагіни та уникати використання плагінів із уразливими місцями.
- Адміністратори WordPress також повинні уникати використання «admin» як імені користувача для своїх облікових записів адміністратора WordPress.
Крім того, атаку EtherHiding/ClearFake важко заблокувати. Користувачам Інтернету просто слід остерігатися будь-яких несподіваних сповіщень «Ваш браузер потребує оновлення», особливо під час відвідування веб-сайту, який використовує WordPress. Користувачі повинні оновлювати свій веб-переглядач лише з області налаштувань браузера — не натисканням кнопки на веб-сайті, незалежно від того, наскільки реалістичним це виглядає.
Є підказка? Надішліть нам електронний лист або ProtonMail. Щоб отримати більш інформовані новини, слідкуйте за нами X, Instagram, Блюський та Новини Google, або підпишіться на наш YouTube канал.
Джерело: https://protos.com/etherhiding-hack-uses-binance-blockchain-to-extort-wordpress-users/