Введение
Северокорейские хакеры начали применять технику на основе блокчейна, известную как EtherHiding, для распространения вредоносного ПО, предназначенного для кражи криптовалюты, включая XRP. Согласно данным Группы разведки угроз Google, это первый случай, когда государственный актор использует данный метод.
Техника EtherHiding
Техника включает встраивание вредоносных JavaScript-payload в смарт-контракты блокчейна, что позволяет создавать устойчивые серверы управления и контроля.
Цели и методы атаки
EtherHiding нацелена на разработчиков в секторах криптовалюты и технологий через кампании социального инжиниринга, известные как «Заразительное Собеседование». Эта кампания привела к многочисленным кражам криптовалюты, затрагивающим держателей XRP и пользователей других цифровых активов.
Вредоносный код хранится на децентрализованных и разрешительных блокчейнах, что исключает возможность отключения центральных серверов правоохранительными органами или компаниями по кибербезопасности.
Нападающие, контролирующие смарт-контракты, могут в любое время обновлять вредоносные payload и поддерживать постоянный доступ к скомпрометированным системам.
Обнаружение и последствия
Исследователи безопасности могут помечать такие контракты как вредоносные на сканерах блокчейна, таких как BscScan, однако вредоносная активность продолжается, несмотря на эти предупреждения. В отчете Google EtherHiding описывается как «переход к хостингу следующего поколения с пуленепробиваемой защитой», где функции блокчейн-технологии используются в злонамеренных целях.
Когда пользователи взаимодействуют с скомпрометированными сайтами, код активируется для кражи XRP, других криптовалют и конфиденциальных данных.
Методы распространения вредоносного ПО
Скомпрометированные веб-сайты взаимодействуют с блокчейн-сетями, используя функции только для чтения, что позволяет избежать создания транзакций в реестре. Это минимизирует риск обнаружения и транзакционные сборы.
Кампания «Заразительное Собеседование» использует тактики социального инжиниринга, имитируя законные процессы найма через фальшивых рекрутеров и вымышленные компании. Фальшивые рекрутеры заманивают кандидатов на платформы, такие как Telegram или Discord, а затем распространяют вредоносное ПО через обманчивые тесты кода или поддельные загрузки программного обеспечения, замаскированные под технические оценки.
Многоступенчатая инфекция
Кампания использует многоступенчатую инфекцию вредоносным ПО, включая варианты JADESNOW, BEAVERTAIL и INVISIBLEFERRET, затрагивающие системы Windows, macOS и Linux. Жертвы уверены, что участвуют в законных собеседованиях, в то время как на самом деле они незаметно загружают вредоносное ПО, предназначенное для получения постоянного доступа к корпоративным сетям и кражи криптовалютных активов.
