Introducción a EtherHiding
Los actores de amenazas norcoreanos han adoptado una técnica basada en blockchain llamada EtherHiding para distribuir malware diseñado para robar criptomonedas, incluyendo XRP. Según el Grupo de Inteligencia de Amenazas de Google, esta es la primera vez que se observa a un actor estatal utilizando este método.
Técnica de EtherHiding
La técnica incrusta cargas útiles maliciosas de JavaScript dentro de contratos inteligentes en la blockchain, creando así servidores de comando y control resilientes. EtherHiding tiene como objetivo a desarrolladores en los sectores de criptomonedas y tecnología a través de campañas de ingeniería social conocidas como «Entrevista Contagiosa». Esta campaña ha resultado en numerosos robos de criptomonedas que afectan a los titulares de XRP y a usuarios de otros activos digitales.
Almacenamiento y Persistencia del Malware
EtherHiding almacena código malicioso en blockchains descentralizadas y sin permisos, eliminando la necesidad de servidores centrales que las fuerzas del orden o las empresas de ciberseguridad puedan desmantelar. Los atacantes que controlan contratos inteligentes pueden actualizar las cargas útiles maliciosas en cualquier momento, manteniendo así un acceso persistente a sistemas comprometidos. Aunque los investigadores de seguridad pueden etiquetar contratos como maliciosos en escáneres de blockchain como BscScan, la actividad maliciosa continúa independientemente de estas advertencias.
Descripción de la Campaña
El informe de Google describe EtherHiding como un «cambio hacia el alojamiento a prueba de balas de próxima generación», donde las características de la tecnología blockchain se utilizan para fines maliciosos.
Cuando los usuarios interactúan con sitios comprometidos, el código se activa para robar XRP, otras criptomonedas y datos sensibles. Los sitios web comprometidos se comunican con redes blockchain utilizando funciones de solo lectura, lo que evita la creación de transacciones en el libro mayor y minimiza la detección y las tarifas de transacción.
Tácticas de Ingeniería Social
La campaña «Entrevista Contagiosa» se centra en tácticas de ingeniería social que imitan procesos de reclutamiento legítimos a través de reclutadores falsos y empresas ficticias. Estos reclutadores atraen a los candidatos a plataformas como Telegram o Discord, y luego entregan malware a través de pruebas de codificación engañosas o descargas de software falsas disfrazadas como evaluaciones técnicas.
La campaña emplea una infección de malware en múltiples etapas, incluyendo variantes de JADESNOW, BEAVERTAIL e INVISIBLEFERRET, que afectan a sistemas Windows, macOS y Linux. Las víctimas creen que están participando en entrevistas de trabajo legítimas mientras descargan sin saberlo malware diseñado para obtener acceso persistente a redes corporativas y robar tenencias de criptomonedas.
