- UNC5342 wykorzystuje inteligentne kontrakty blockchain do dostarczania złośliwego oprogramowania kradnącego kryptowaluty za pośrednictwem EtherHiding
- Fałszywe zadania i wyzwania związane z kodowaniem zachęcają programistów do uruchamiania modułu ładującego JadeSnow i backdoora
- Niezmienność łańcucha bloków sprawia, że hosting jest odporny na złośliwe oprogramowanie
Sponsorowani przez państwo północnokoreańskie podmioty zagrażające wykorzystują obecnie publiczne łańcuchy bloków do hostowania złośliwego kodu i umieszczania złośliwego oprogramowania na docelowych punktach końcowych.
Tak twierdzi Google Threat Intelligence Group (GTIG), która stwierdziła, że zaobserwowała, że UNC5342 wykorzystuje Ethereum i BNB do hostowania dropperów i ostatecznie wdraża złośliwe oprogramowanie kradnące kryptowaluty przeciwko twórcom oprogramowania i blockchain.
Technika ta nazywa się EtherHiding. Zamiast wysyłać złośliwy plik bezpośrednio do ofiary (lub w inny sposób namawiać ją do pobrania), kodują części złośliwego oprogramowania w transakcjach typu blockchain i inteligentnych kontraktach.
Ewolucja kuloodpornego hostingu
Sam inteligentny kontrakt nie uruchamia automatycznie złośliwego oprogramowania na czyimś komputerze, ale tak się dzieje to może dostarczać instrukcje lub kod, gdy użytkownik wchodzi z nim w interakcję (kiedy kliknie link, uruchomi skrypt lub połączy się z portfelem kryptowalutowym).
Blockchain to świetne miejsce do przechowywania i dystrybucji złośliwego oprogramowania, ponieważ jest publiczny, niezmienny i prawie niemożliwy do manipulacji.
„Oznacza to krok w kierunku kuloodpornego hostingu nowej generacji” – stwierdził Google, podkreślając, że odporny charakter blockchainu sprawia, że jest on tak atrakcyjny dla cyberprzestępców.
Od lutego obserwowano, że UNC5342 tworzy fałszywe zadania i wyzwania związane z kodowaniem, oszukując programistów i inne osoby pracujące w przestrzeni Web3 do pobrania różnych plików. Pliki te łączą się z łańcuchem bloków i pobierają kod, który z kolei instaluje moduł ładujący JadeSnow. Ten moduł ładujący usuwa backdoora InvisibleFerret, który został już zauważony jako używany do kradzieży kryptowalut.
To nie pierwszy raz, kiedy widzimy, jak blockchain jest używany do dostarczania złośliwego oprogramowania. Technikę tę stosuje się od 2023 r., a w tym samym raporcie Google wspomniał również o aktorze motywowanym finansowo UNC5142 stosującym tę samą technikę.
Widziano, że ta grupa naruszała witryny WordPress w celu hostowania złośliwego kodu JavaScript, który łączy się z łańcuchem bloków. Do tej pory wykryto ponad 14 000 zainfekowanych stron.
Korea Północna znana jest z atakowania branży kryptograficznej i wykorzystywania skradzionych funduszy do finansowania swojego programu zbrojeniowego i aparatu państwowego.
Poprzez Protokół
Obserwuj TechRadar w Google News I dodaj nas jako preferowane źródło aby otrzymywać wiadomości od ekspertów, recenzje i opinie w swoich kanałach. Koniecznie kliknij przycisk Obserwuj!
I oczywiście Ty też możesz Śledź TechRadar na TikTok aby otrzymywać aktualności, recenzje, rozpakowywania wideo i otrzymywać od nas regularne aktualizacje pod adresem WhatsApp Również.
