Siber suçlular, Binance'ın akıllı zinciri (BSC) sözleşmelerini blockchain'deki kötü amaçlı komut dosyalarını gizlemek için kötüye kullanan 'Etherhiding' olarak adlandırılan yeni bir kod dağıtım tekniği kullanıyor.
Bu kampanyadan sorumlu tehdit aktörleri, daha önce kötü niyetli JavaScript'i hacklenen web sitelerine enjekte etmek için Cloudflare çalışanına yönlendiren, ancak daha sonra çok daha esnek ve kaçındırıcı bir dağıtım kanalı sağlayan blockchain sistemlerini kötüye kullanmaya yönlendirilen tehlikeye atılmış WordPress sitelerini kullandı.
Guardio Labs araştırmacıları Nati Tal ve kampanyayı keşfeden Oleg Zaytsev, "Son iki ay boyunca çok çeşitli bir dizi kaçırılmış WordPress sitesinden yararlanarak, kullanıcıları kötü niyetli sahte tarayıcı güncellemelerini indirmeye yönlendirdi."
"İstismar edilen Cloudflare çalışan barındırmalarında kod barındırma yöntemleri kaldırılırken, blockchain'in merkezi olmayan, anonim ve kamusal doğasından yararlanmak için hızla döndüler. Bu kampanya tespit etmek ve devirmek her zamankinden daha zor . "
Etheringing, sahte tarayıcı güncelleme kaplamalarını görüntülemek için hacklenen web sitelerine enjekte edilen kodu dağıtmak için 'ClearFake' olarak adlandırılan tehdit aktörleri tarafından yeni bir tekniktir.
Guardio Labs, bilgisayar korsanlarının Web sayfalarına iki komut dosyası etiketini enjekte etmek için savunmasız WordPress sitelerini veya tehlikeye atılmış yönetici kimlik bilgilerini hedeflediğini açıklar.
Bu komut dosyası enjeksiyonları Binance Smart Chain (BSC) JS kütüphanesini ve daha sonra siteye enjekte edilen blockchain'den kötü niyetli komut dosyalarını yükler.
BSC'den getirilen bu kod, bu kez tehdit oyuncusu sunucularından (C2) üçüncü aşamalı yükün indirilmesini tetiklemek için web sayfasına enjekte edilir.
C2 adresi doğrudan blockchain'den sevk edilir, böylece saldırganlar bloklardan kaçınacak şekilde kolayca değiştirebilir.
Bu üçüncü aşamalı yükler, sitede kullanıcıları Google Chrome, Microsoft Edge veya Mozilla Firefox tarayıcısını güncellemelerini isteyen sahte bir bindirme göstermek için kullanıcının tarayıcısında çalışır.
Mağdur Güncelleme düğmesini tıkladıktan sonra, Dropbox veya diğer meşru barındırma sitelerinden kötü amaçlı bir yürütülebilir dosyayı indirmeye yönlendirilir.
Blockchain, merkezi olmayan uygulamaları ve akıllı sözleşmeleri çalıştırmak için tasarlanmıştır ve üzerinde barındırılan herhangi bir kod kaldırılamaz, bu nedenle kiralanan altyapı kullanmak yerine orada barındırmak bu saldırıları engellenemez hale getirir.
Alanlarından biri işaretlendiğinde, saldırganlar kötü niyetli kodu ve ilgili alanları değiştirmek için zinciri günceller ve saldırıyı minimum kesintiye devam eder.
Ayrıca, bu değişiklikleri yapmak için herhangi bir suçlama yoktur, bu nedenle siber suçlular, operasyonlarını kârsız hale getirecek bir mali yüke maruz kalmadan sistemi ihtiyaç duydukları kadar kötüye kullanabilirler.
BSC'ye akıllı bir sözleşme konuşlandırıldıktan sonra, otonom olarak çalışır ve kapatılamaz. Adresi kötü niyetli olarak bildirmek bile, çağrıldığında kötü amaçlı kodun dağıtılmasını engellemez.
Guardio Labs, adresi bildirmenin, kullanıcıları adresle etkileşime girmemeleri için uyarmak için Binance'ın BSC Explorer sayfasında bir uyarı tetiklediğini söylüyor. Bununla birlikte, tehlikeye atılan WordPress sitelerinin ziyaretçileri, bu uyarıyı asla görmeyecek veya kaputun altında ne olduğunu fark etmeyeceklerdir.
Sorunu azaltmanın tek yolu, WordPress güvenliğine odaklanmak, güçlü, benzersiz yönetici şifrelerini kullanmak, eklentileri güncel tutmak ve kullanılmayan eklentileri ve hesapları kaldırmaktır.
Şu anda Clearfake kampanyalarının bir evrimi olsa da, Etherhiding, tehdit aktörlerinin sürekli gelişen taktiklerini, saldırılarını daha fazla yayılmaya dirençli hale getirmek için sunuyor.
Bu yöntem başarılı olursa, blockchain istismarı önümüzdeki aylarda çeşitli yük dağıtım saldırısı zincirlerinin ayrılmaz bir parçası olabilir.
Geçen ay Balada enjektör saldırılarında hacklenen 17.000'den fazla WordPress sitesi
FTC, 2021'den beri sosyal medya dolandırıcılıklarına 'şaşırtıcı' kayıplar konusunda uyarıyor
FBI, yaşlıları etkileyen 'Phantom Hacker' dolandırıcılarında dalgalanma konusunda uyarıyor
Malvertisers, kullanıcıları dolandırıcılıklara yönlendirmek için tarayıcı sıfır gününü kullandı
Mixin Network, 200 milyon dolarlık hack'i takiben operasyonları askıya alıyor
Kaynak: Bleeping Computer