Výskumníci z Guardio Labs objavili nový útok známy ako „EtherHiding“, ktorý využíva Binance Smart Chain a Bullet-Proof Hosting na obsluhu škodlivého kódu vo webových prehliadačoch obetí.
Na rozdiel od predchádzajúcej sady falošných aktualizačných hackov, ktoré využívali WordPress, tento variant používa nový nástroj: Blockchain Binance. Predchádzajúce varianty bez blockchainu prerušili návštevu webovej stránky realisticky vyzerajúcou výzvou „Aktualizovať“ v štýle prehliadača. Kliknutím myši obete nainštalovaný malvér.
Vďaka lacnej, rýchlej a zle kontrolovanej programovateľnosti Binance Smart Chain môžu hackeri obsluhovať zničujúce množstvo kódu priamo z tohto blockchainu.
Aby bolo jasné, toto nie je útok MetaMask. Hackeri jednoducho obsluhujú škodlivý kód vo webových prehliadačoch obetí, ktorý vyzerá ako akákoľvek webová stránka, ktorú chce hacker vytvoriť – hostený a poskytovaný nezastaviteľným spôsobom. Pomocou blockchainu Binance na obsluhu kódu hackeri útočia na obete pre rôzne vydieračské podvody. Naozaj, EtherHiding sa dokonca zameriava na obete, ktoré nevlastnia žiadne kryptomeny.
Prečítajte si viac: Reuters naznačuje „temné tajomstvá“ obklopujúce Binance a jej rezervy
Únos prehliadača s cieľom ukradnúť vaše informácie
V posledných mesiacoch sa rozšírili falošné aktualizácie prehliadača. Nič netušiaci používatelia internetu narazia na dôveryhodnú, tajne kompromitovanú webovú stránku. Vidia podvodnú aktualizáciu prehliadača a neprítomne kliknú na „Aktualizovať“. Hackeri okamžite nainštalujú malvér ako RedLine, Amadey alebo Lumma. Tento typ malvéru, známy ako „infostealer“, sa často skrýva prostredníctvom útokov trójskych koní, ktoré majú povrchný vzhľad legitímneho softvéru.
Verzia EtherHiding týchto aktualizačných útokov založených na WordPress používa výkonnejší infostealer, ClearFake. Pomocou ClearFake vloží EtherHiding kód JS do počítačov nič netušiacich používateľov.
V staršej verzii ClearFake sa niektorý kód spoliehal na servery CloudFlare. CloudFlare zistil a odstránil tento škodlivý kód, ktorý zničil niektoré funkcie útoku ClearFake.
Bohužiaľ, útočníci sa naučili, ako sa vyhnúť hostiteľom zameraným na kybernetickú bezpečnosť, ako je CloudFlare. V Binance našli dokonalého hostiteľa.
Najmä útok EtherHiding presmeruje svoju prevádzku na servery Binance. Používa zahmlený kód Base64, ktorý dopytuje Binance Smart Chain (BSC) a inicializuje zmluvu BSC s adresou kontrolovanou útočníkmi. Najmä volá niektoré súpravy na vývoj softvéru (SDK), ako napríklad eth_call od Binance, ktoré simulujú vykonávanie zmluvy a možno ich použiť na volanie škodlivého kódu.
Ako výskumníci Guardio Labs prosili vo svojich príspevkoch Medium, Binance by mohla zmierniť tento útok zakázaním dopytov na adresy, ktoré označila ako škodlivé, alebo zakázaním eth_call SDK.
Binance označila niektoré inteligentné zmluvy ClearFake ako škodlivé na BSCScan, dominantnom prieskumníkovi Binance Smart Chain. Tu varuje blockchainových prieskumníkov, že adresy útočníka sú súčasťou phishingového útoku.
Poskytuje však málo užitočných informácií o forme útoku. konkrétne BSCScan nezobrazuje varovania skutočným obetiam, kde dochádza k hackovaniu: vo svojich webových prehliadačoch.
Tipy webového prehliadača, ako sa vyhnúť EtherHidingu
WordPress sa stal notoricky známym tým, že je cieľom útočníkov, pričom platformu používa jedna štvrtina všetkých webových stránok.
- Žiaľ, približne pätina webových stránok WordPress neaktualizovala na najnovšiu verziu, čo vystavuje používateľov internetu škodlivému softvéru, akým je EtherHiding.
- Správcovia stránok by mali implementovať robustné bezpečnostné opatrenia, ako je udržanie prihlasovacích poverení v bezpečí, odstránenie napadnutých doplnkov, zabezpečenie hesiel a obmedzenie prístupu správcu.
- Správcovia WordPress by mali aktualizovať WordPress a jeho doplnky denne a vyhýbať sa používaniu doplnkov so zraniteľnými miestami.
- Správcovia WordPress by sa tiež mali vyhnúť používaniu „admin“ ako používateľského mena pre svoje správcovské účty WordPress.
Okrem toho je ťažké blokovať útok EtherHiding/ClearFake. Používatelia internetu by si mali dávať pozor na akékoľvek neočakávané upozornenie „Váš prehliadač potrebuje aktualizáciu“, najmä keď navštívite webovú stránku, ktorá používa WordPress. Používatelia by mali aktualizovať svoj prehliadač iba z oblasti nastavení prehliadača — nie kliknutím na tlačidlo na webovej stránke, bez ohľadu na to, ako realisticky to vyzerá.
Máte tip? Pošlite nám e-mail alebo ProtonMail. Pre viac informovaných noviniek nás sledujte X, Instagram, Modrá oblohaa Správy Googlealebo sa prihláste na odber našich YouTube kanála.
Zdroj: https://protos.com/etherhiding-hack-uses-binance-blockchain-to-extort-wordpress-users/