Introduzione
Attori minacciosi nordcoreani hanno adottato una tecnica basata su blockchain chiamata EtherHiding per distribuire malware progettato per rubare criptovalute, incluso XRP. Secondo il Threat Intelligence Group di Google, questa è la prima volta che un attore statale utilizza questo metodo.
La Tecnica EtherHiding
La tecnica incorpora payload JavaScript malevoli all’interno di smart contract blockchain, creando server di comando e controllo resilienti. EtherHiding prende di mira sviluppatori nei settori delle criptovalute e della tecnologia attraverso campagne di ingegneria sociale denominate “Contagious Interview”. Questa campagna ha portato a numerosi furti di criptovalute, colpendo i possessori di XRP e gli utenti di altri asset digitali.
Caratteristiche del Malware
EtherHiding memorizza codice malevolo su blockchain decentralizzate e senza permessi, eliminando server centrali che le forze dell’ordine o le aziende di cybersecurity possono abbattere. Gli attaccanti che controllano gli smart contract possono aggiornare i payload malevoli in qualsiasi momento, mantenendo un accesso persistente ai sistemi compromessi.
I ricercatori di sicurezza possono contrassegnare i contratti come malevoli su scanner blockchain come BscScan, ma l’attività malevola continua indipendentemente da questi avvisi.
Impatto e Rilevamento
Il rapporto di Google descrive EtherHiding come un “cambiamento verso l’hosting a prova di proiettile di nuova generazione”, dove le funzionalità della tecnologia blockchain vengono sfruttate per scopi malevoli.
Quando gli utenti interagiscono con siti compromessi, il codice si attiva per rubare XRP, altre criptovalute e dati sensibili. I siti compromessi comunicano con le reti blockchain utilizzando funzioni di sola lettura, evitando di creare transazioni nel libro mastro, il che minimizza la rilevazione e le commissioni di transazione.
Campagna Contagious Interview
La campagna Contagious Interview si concentra su tattiche di ingegneria sociale che imitano processi di reclutamento legittimi, utilizzando reclutatori falsi e aziende inventate. Questi reclutatori attirano i candidati su piattaforme come Telegram o Discord e poi distribuiscono malware attraverso test di codifica ingannevoli o download di software falsi mascherati da valutazioni tecniche.
La campagna impiega un’infezione malware a più fasi, inclusi i varianti JADESNOW, BEAVERTAIL e INVISIBLEFERRET, che colpiscono sistemi Windows, macOS e Linux. Le vittime credono di partecipare a colloqui di lavoro legittimi mentre scaricano inconsapevolmente malware progettato per ottenere accesso persistente alle reti aziendali e rubare criptovalute.
