Os atores de ameaças norte-coreanos adotaram uma técnica baseada em blockchain chamada EtherHiding para entregar malware projetado para roubar criptomoedas, incluindo XRP.
Resumo
- Os hackers incorporam código malicioso em contratos inteligentes para roubar XRP e outras criptomoedas.
- EtherHiding evita remoções hospedando malware em blockchains descentralizadas.
- Recrutadores falsos enganam os desenvolvedores para que instalem malware durante entrevistas de emprego.
De acordo com o Threat Intelligence Group do Google, esta é a primeira vez que o GTIG observa um ator estatal usando este método.
O método incorpora cargas JavaScript maliciosas em contratos inteligentes de blockchain para criar servidores de comando e controle resilientes.
A técnica EtherHiding tem como alvo desenvolvedores nos setores de criptomoeda e tecnologia por meio de campanhas de engenharia social rastreadas como “Entrevista Contagiosa”.
A campanha levou a vários roubos de criptomoedas afetando detentores de XRP (XRP) e usuários de outros ativos digitais.
Infraestrutura de ataque baseada em blockchain evita detecção
EtherHiding armazena código malicioso em blockchains descentralizados e sem permissão e remove servidores centrais que as autoridades policiais ou empresas de segurança cibernética podem derrubar.
Os invasores que controlam contratos inteligentes podem atualizar cargas maliciosas a qualquer momento e manter acesso persistente aos sistemas comprometidos.
Os pesquisadores de segurança podem marcar contratos como maliciosos em scanners de blockchain como o BscScan, mas a atividade maliciosa continua independentemente desses avisos.
O relatório do Google descreve o EtherHiding como uma “mudança em direção à hospedagem à prova de balas de próxima geração”, onde os recursos da tecnologia blockchain permitem fins maliciosos.
Quando os usuários interagem com sites comprometidos, o código é ativado para roubar XRP, outras criptomoedas e dados confidenciais.
Os sites comprometidos se comunicam com redes blockchain usando funções somente leitura que evitam a criação de transações contábeis. Isso minimiza as taxas de detecção e transação.
Engenharia social sofisticada
A campanha Contagious Interview centra-se em táticas de engenharia social que imitam processos de recrutamento legítimos através de recrutadores falsos e empresas fabricadas.
Os falsos recrutadores atraem candidatos para plataformas como Telegram ou Discord e, em seguida, entregam malware por meio de testes de codificação enganosos ou downloads de software falsos disfarçados de avaliações técnicas.
A campanha emprega infecção por malware em vários estágios, incluindo variantes JADESNOW, BEAVERTAIL e INVISIBLEFERRET que afetam sistemas Windows, macOS e Linux.
As vítimas acreditam que estão participando de entrevistas de emprego legítimas enquanto, sem saber, baixam malware projetado para obter acesso persistente a redes corporativas e roubar criptomoedas.
Fontecrypto.news
