Исследователи из Guardio Labs обнаружили новую атаку, известную как «EtherHiding», которая использует Binance Smart Chain и пуленепробиваемый хостинг для размещения вредоносного кода в веб-браузерах жертв.
В отличие от более раннего набора фальшивых обновлений, использующих WordPress, в этом варианте используется новый инструмент: Блокчейн Binance. Ранее варианты без блокчейна прерывали посещение веб-страницы реалистичным приглашением «Обновить» в стиле браузера. Щелчком мыши жертвы установил вредоносное ПО.
Благодаря дешевой, быстрой и плохо контролируемой программируемости Binance Smart Chain хакеры могут обслуживать разрушительную полезную нагрузку кода непосредственно из этого блокчейна.
Чтобы внести ясность: это не атака MetaMask. Хакеры просто размещают вредоносный код в веб-браузерах жертв, который выглядит как любая веб-страница, которую хочет создать хакер, — размещается и обслуживается непреодолимым образом. Используя блокчейн Binance для обслуживания кода, хакеры атакуют жертв в рамках различных мошенничеств с вымогательством. Действительно, EtherHiding нацелен даже на жертв, у которых нет криптовалютных активов.
Читать далее: Reuters намекает на «темные тайны», окружающие Binance и ее резервы
Взлом браузера с целью кражи вашей информации
За последние несколько месяцев увеличилось количество поддельных обновлений браузеров. Ничего не подозревающие пользователи Интернета сталкиваются с правдоподобным, тайно взломанным веб-сайтом. Они видят мошенническое обновление браузера и рассеянно нажимают «Обновить». Хакеры сразу же устанавливают вредоносное ПО, такое как RedLine, Amadey или Lumma. Этот тип вредоносного ПО, известный как «инфовор», часто скрывается с помощью троянских атак, внешне внешне напоминающих законное программное обеспечение.
Версия EtherHiding этих атак обновления на основе WordPress использует более мощный инструмент для кражи информации ClearFake. Используя ClearFake, EtherHiding внедряет JS-код в компьютеры ничего не подозревающих пользователей.
В более ранней версии ClearFake часть кода использовала серверы CloudFlare. CloudFlare обнаружил и устранил этот вредоносный код, который лишил некоторых функций атаки ClearFake.
К сожалению, злоумышленники научились обходить такие хосты, ориентированные на кибербезопасность, как CloudFlare. Они нашли идеального хостера в Binance.
В частности, атака EtherHiding перенаправляет свой трафик на серверы Binance. Он использует запутанный код Base64, который запрашивает Binance Smart Chain (BSC) и инициализирует контракт BSC с адресом, контролируемым злоумышленниками. В частности, он вызывает некоторые комплекты разработки программного обеспечения (SDK), такие как eth_call от Binance, которые имитируют выполнение контракта и могут использоваться для вызова вредоносного кода.
Как утверждают исследователи Guardio Labs в своих сообщениях на Medium, Binance может смягчить эту атаку, отключив запросы к адресам, которые были помечены как вредоносные, или отключив SDK eth_call.
Со своей стороны, Binance пометила некоторые смарт-контракты ClearFake как вредоносные в BSCScan, доминирующем обозревателе Binance Smart Chain. Здесь он предупреждает исследователей блокчейна о том, что адреса злоумышленника являются частью фишинговой атаки.
Однако он дает мало полезной информации о форме атаки. Конкретно, BCSSCcan не отображает предупреждения реальным жертвам, где происходят взломы.: внутри своих веб-браузеров.
Советы по веб-браузеру, чтобы избежать EtherHiding
WordPress стал известен как мишень для злоумышленников: эту платформу использует четверть всех веб-сайтов.
- К сожалению, примерно пятая часть веб-сайтов WordPress не обновлена до последней версии, что подвергает пользователей Интернета воздействию таких вредоносных программ, как EtherHiding.
- Администраторам сайта следует принять надежные меры безопасности, такие как обеспечение безопасности учетных данных для входа, удаление скомпрометированных плагинов, защита паролей и ограничение доступа администратора.
- Администраторы WordPress должны ежедневно обновлять WordPress и его плагины и избегать использования плагинов с уязвимостями.
- Администраторам WordPress также следует избегать использования «admin» в качестве имени пользователя для своих учетных записей администратора WordPress.
Кроме того, атаку EtherHiding/ClearFake сложно заблокировать. Интернет-пользователям просто следует опасаться любого неожиданного уведомления «Ваш браузер нуждается в обновлении», особенно при посещении веб-сайта, использующего WordPress. Пользователи должны обновлять свой браузер только из области настроек браузера. — не нажатием кнопки на веб-сайте, независимо от того, насколько реалистично это выглядит.
Есть совет? Отправьте нам электронное письмо или ProtonMail. Чтобы быть в курсе новостей, следите за нами на X, Instagram, Blueskyи Новости Google, или подпишитесь на нашу YouTube канал.
Источник: https://protos.com/etherhiding-hack-uses-binance-blockchain-to-extort-wordpress-users/