Hacker nordcoreani usano blockchain per rubare criptovalute
La tecnica EtherHiding sfrutta smart contract per diffondere malware e ottenere accesso remoto.
Un gruppo di hacker supportato dallo stato nordcoreano sta utilizzando blockchain pubbliche per ospitare payload malevoli, secondo una recente ricerca del Threat Intelligence Group di Google. Questa campagna segna il primo caso documentato di un attore statale che adotta la tecnica del malware su smart contract, nota come EtherHiding, per eludere la rilevazione.
Attribuita a UNC5342, un gruppo legato all'operazione Contagious Interview, la tecnica include un downloader JavaScript chiamato JADESNOW, che esegue un backdoor, denominato INVISIBLEFERRET, direttamente da dati memorizzati su BNB Smart Chain ed Ethereum.
Il meccanismo di distribuzione si basa su chiamate read-only alla blockchain, che non lasciano tracce visibili negli strumenti di analisi e sfruttano la natura immutabile dei contratti. In questo modo, gli attori possono aggiornare o sostituire i payload malevoli senza ricompromettere siti o clienti.
Le infezioni reali sono state distribuite tramite siti WordPress compromessi e tecniche di ingegneria sociale, inclusi falsi colloqui di lavoro per sviluppatori di criptovalute. Una volta raggiunti questi siti, le vittime ricevono il loader JADESNOW, che recupera un payload JavaScript dagli smart contract on-chain, avviando così INVISIBLEFERRET.
Per mitigare questo rischio, le organizzazioni possono bloccare servizi di JSON-RPC pubblici o imporre l'uso di nodi auto-ospitati con restrizioni politiche. Inoltre, possono implementare policy rigorose su estensioni e script nei browser per prevenire avvisi falsi di aggiornamento stile Chrome.
Cos'è la tecnica 'EtherHiding' utilizzata da UNC5342?
EtherHiding è una tecnica in cui il codice malevolo viene nascosto all'interno di smart contract su blockchain pubbliche come Ethereum e BNB Smart Chain. Questo metodo sfrutta la natura decentralizzata e immutabile della blockchain per rendere il malware difficile da rilevare e rimuovere.
Come avviene l'infezione tramite la campagna 'Contagious Interview'?
Nella campagna 'Contagious Interview', gli attaccanti si spacciano per reclutatori su piattaforme come LinkedIn, offrendo false opportunità di lavoro. Durante il processo di selezione, inducono le vittime a scaricare e eseguire file compromessi che contengono il malware JADESNOW, il quale recupera ulteriori payload malevoli dagli smart contract sulla blockchain.
Quali sono le misure di mitigazione consigliate contro questo tipo di attacchi?
Per mitigare il rischio, è consigliabile bloccare i servizi JSON-RPC pubblici o imporre l'uso di nodi auto-ospitati con restrizioni politiche. Inoltre, implementare policy rigorose su estensioni e script nei browser può prevenire avvisi falsi di aggiornamento stile Chrome.
In che modo la natura immutabile della blockchain avvantaggia gli attaccanti?
La natura immutabile della blockchain significa che una volta che un dato è stato registrato, non può essere modificato o cancellato. Gli attaccanti sfruttano questa caratteristica per ospitare codice malevolo su smart contract, rendendo difficile per le autorità o i professionisti della sicurezza rimuovere o bloccare il malware.
Quali sono le implicazioni dell'uso di blockchain pubbliche per la distribuzione di malware?
L'uso di blockchain pubbliche per la distribuzione di malware rappresenta una sfida significativa per la sicurezza informatica, poiché le blockchain sono decentralizzate e resistenti alla censura. Questo rende difficile interrompere le operazioni malevole e richiede nuove strategie di difesa.
Come possono le organizzazioni proteggersi da attacchi che utilizzano tecniche come EtherHiding?
Le organizzazioni possono proteggersi implementando controlli rigorosi sulle estensioni e sugli script dei browser, utilizzando nodi blockchain auto-ospitati con restrizioni politiche e monitorando attentamente le interazioni con le blockchain pubbliche per rilevare attività sospette.
