Атака EtherHiding нацелена на XRP и другие криптоактивы
Северокорейские хакеры начали использовать блокчейн-технику под названием EtherHiding для распространения вредоносного ПО, предназначенного для кражи криптовалюты, включая XRP.
Согласно данным Группы анализа угроз Google, это первый случай, когда государственный актор использует данный метод.
Метод внедряет вредоносные JavaScript-полезные нагрузки в смарт-контракты блокчейна для создания устойчивых командных серверов.
Техника EtherHiding нацелена на разработчиков в криптовалютном и технологическом секторах через кампании социальной инженерии, отслеживаемые как «Заразное интервью».
Кампания привела к многочисленным кражам криптовалюты, затронувшим держателей XRP и пользователей других цифровых активов.
Инфраструктура атак на базе блокчейна уклоняется от обнаружения
EtherHiding хранит вредоносный код в децентрализованных и беспермиссивных блокчейнах, устраняя центральные серверы, которые могут быть отключены правоохранительными органами или кибербезопасными компаниями.
Злоумышленники, контролирующие смарт-контракты, могут обновлять вредоносные полезные нагрузки в любое время и сохранять постоянный доступ к скомпрометированным системам.
Отчет Google описывает EtherHiding как «сдвиг в сторону хостинга следующего поколения», где функции блокчейн-технологии позволяют осуществлять вредоносные цели.
Когда пользователи взаимодействуют с скомпрометированными сайтами, код активируется для кражи XRP, других криптовалют и конфиденциальных данных.
Сложная социальная инженерия
Кампания «Заразное интервью» сосредоточена на тактиках социальной инженерии, имитирующих легитимные процессы найма через фальшивых рекрутеров и поддельные компании.
Фальшивые рекрутеры заманивают кандидатов на такие платформы, как Telegram или Discord, затем доставляют вредоносное ПО через обманчивые тесты по программированию или поддельные загрузки программного обеспечения, замаскированные под технические оценки.
Жертвы верят, что участвуют в легитимных собеседованиях, в то время как непреднамеренно загружают вредоносное ПО, предназначенное для получения постоянного доступа к корпоративным сетям и кражи криптовалютных активов.
Перевод: EtherWulf
