Introduction
Des acteurs menaçants nord-coréens ont adopté une technique basée sur la blockchain, appelée EtherHiding, pour déployer des logiciels malveillants conçus pour voler des cryptomonnaies, y compris le XRP. Selon le Threat Intelligence Group de Google, c’est la première fois qu’un acteur étatique utilise cette méthode.
Technique EtherHiding
La technique intègre des charges utiles JavaScript malveillantes à l’intérieur des contrats intelligents de la blockchain, créant ainsi des serveurs de commande et de contrôle résilients. EtherHiding cible les développeurs dans les secteurs de la cryptomonnaie et de la technologie à travers des campagnes d’ingénierie sociale, connues sous le nom de « Contagious Interview ». Cette campagne a conduit à de nombreux vols de cryptomonnaies, affectant les détenteurs de XRP et les utilisateurs d’autres actifs numériques.
EtherHiding stocke du code malveillant sur des blockchains décentralisées et sans autorisation, éliminant ainsi les serveurs centraux que les forces de l’ordre ou les entreprises de cybersécurité peuvent démanteler. Les attaquants contrôlant les contrats intelligents peuvent mettre à jour les charges utiles malveillantes à tout moment, maintenant ainsi un accès persistant aux systèmes compromis. Bien que les chercheurs en sécurité puissent marquer les contrats comme malveillants sur des scanners de blockchain tels que BscScan, l’activité malveillante se poursuit malgré ces avertissements.
Impact et fonctionnement
Le rapport de Google décrit EtherHiding comme un « changement vers un hébergement à l’épreuve des balles de nouvelle génération », où les fonctionnalités de la technologie blockchain sont détournées à des fins malveillantes.
Lorsque les utilisateurs interagissent avec des sites compromis, le code s’active pour voler du XRP, d’autres cryptomonnaies et des données sensibles. Les sites compromis communiquent avec les réseaux blockchain en utilisant des fonctions en lecture seule, évitant ainsi de créer des transactions sur le grand livre, ce qui minimise la détection et les frais de transaction.
Campagne Contagious Interview
La campagne Contagious Interview se concentre sur des tactiques d’ingénierie sociale qui imitent des processus de recrutement légitimes à travers de faux recruteurs et des entreprises fictives. De faux recruteurs attirent des candidats sur des plateformes comme Telegram ou Discord, puis livrent des logiciels malveillants à travers des tests de codage trompeurs ou de faux téléchargements de logiciels déguisés en évaluations techniques.
Cette campagne emploie une infection par malware en plusieurs étapes, incluant les variantes JADESNOW, BEAVERTAIL et INVISIBLEFERRET, affectant les systèmes Windows, macOS et Linux. Les victimes croient participer à de véritables entretiens d’embauche tout en téléchargeant sans le savoir des logiciels malveillants conçus pour obtenir un accès persistant aux réseaux d’entreprise et voler des avoirs en cryptomonnaie.
