Ερευνητές στο Guardio Labs ανακάλυψαν μια νέα επίθεση γνωστή ως «EtherHiding», η οποία χρησιμοποιεί Binance Smart Chain και Bullet-Proof Hosting για την εξυπηρέτηση κακόβουλου κώδικα στα προγράμματα περιήγησης ιστού των θυμάτων.
Σε αντίθεση με μια προηγούμενη σουίτα ψεύτικων ενημερωμένων πειρασμών που εκμεταλλευόταν το WordPress, αυτή η παραλλαγή χρησιμοποιεί ένα νέο εργαλείο: Το blockchain της Binance. Νωρίτερα, παραλλαγές που δεν ήταν blockchain διέκοψαν μια επίσκεψη ιστοσελίδας με μια ρεαλιστική εμφάνιση, με το στιλ του προγράμματος περιήγησης, την προτροπή «Ενημέρωση». Το κακόβουλο λογισμικό εγκατεστημένο με κλικ του ποντικιού ενός θύματος.
Λόγω της φθηνής, γρήγορης και κακώς ελεγχόμενης προγραμματισμού του Binance Smart Chain, οι χάκερ μπορούν να εξυπηρετήσουν ένα καταστροφικό ωφέλιμο φορτίο κώδικα απευθείας από αυτό το blockchain.
Για να είμαστε σαφείς, δεν πρόκειται για επίθεση MetaMask. Οι χάκερ απλώς εξυπηρετούν κακόβουλο κώδικα μέσα στα προγράμματα περιήγησης ιστού των θυμάτων που μοιάζει με οποιαδήποτε ιστοσελίδα που θέλει να δημιουργήσει ο χάκερ — φιλοξενείται και εξυπηρετείται με ασταμάτητο τρόπο. Χρησιμοποιώντας το blockchain της Binance για την εξυπηρέτηση κώδικα, οι χάκερ επιτίθενται στα θύματα για διάφορες απάτες εκβιασμού. Πράγματι, Το EtherHiding στοχεύει ακόμη και θύματα χωρίς κατοχή κρυπτογράφησης.
Διαβάστε περισσότερα: Το Reuters υπαινίσσεται τα «σκοτεινά μυστικά» γύρω από το Binance και τα αποθέματά του
Παραβίαση του προγράμματος περιήγησης για κλοπή των πληροφοριών σας
Τους τελευταίους μήνες, οι ψεύτικες ενημερώσεις προγράμματος περιήγησης έχουν πολλαπλασιαστεί. Οι ανυποψίαστοι χρήστες του Διαδικτύου συναντούν έναν αξιόπιστο, κρυφά παραβιασμένο ιστότοπο. Βλέπουν μια δόλια ενημέρωση του προγράμματος περιήγησης και κάνουν άθελά τους κλικ στην "Ενημέρωση". Αμέσως, οι χάκερ εγκαθιστούν κακόβουλο λογισμικό όπως το RedLine, το Amadey ή το Lumma. Αυτός ο τύπος κακόβουλου λογισμικού, γνωστός ως «infostealer», συχνά κρύβεται μέσω επιθέσεων Trojan που έχουν την επιφανειακή εμφάνιση νόμιμου λογισμικού.
Η έκδοση EtherHiding αυτών των επιθέσεων ενημέρωσης που βασίζονται στο WordPress χρησιμοποιεί ένα πιο ισχυρό infostealer, το ClearFake. Χρησιμοποιώντας το ClearFake, το EtherHiding εισάγει κώδικα JS σε υπολογιστές ανυποψίαστων χρηστών.
Σε μια παλαιότερη έκδοση του ClearFake, κάποιος κώδικας βασιζόταν σε διακομιστές CloudFlare. Το CloudFlare εντόπισε και εξάλειψε αυτόν τον κακόβουλο κώδικα, ο οποίος κατέστρεψε μέρος της λειτουργικότητας της επίθεσης ClearFake.
Δυστυχώς, οι εισβολείς έμαθαν πώς να αποφεύγουν τους οικοδεσπότες που προσανατολίζονται στην κυβερνοασφάλεια, όπως το CloudFlare. Βρήκαν έναν τέλειο οικοδεσπότη στο Binance.
Ιδιαίτερα η επίθεση EtherHiding ανακατευθύνει την επισκεψιμότητά του σε διακομιστές Binance. Χρησιμοποιεί έναν ασαφή κώδικα Base64 που θέτει ερωτήματα Binance Smart Chain (BSC) και προετοιμάζει ένα συμβόλαιο BSC με μια διεύθυνση που ελέγχεται από τους εισβολείς. Καλεί συγκεκριμένα κιτ ανάπτυξης λογισμικού (SDK) όπως το eth_call της Binance, που προσομοιώνουν την εκτέλεση συμβολαίου και μπορούν να χρησιμοποιηθούν για την κλήση κακόβουλου κώδικα.
Όπως επικαλέστηκαν οι ερευνητές του Guardio Labs στις αναρτήσεις τους στο Medium, το Binance θα μπορούσε να μετριάσει αυτήν την επίθεση απενεργοποιώντας τα ερωτήματα σε διευθύνσεις που έχει επισημάνει ως κακόβουλες ή απενεργοποιώντας το eth_call SDK.
Από την πλευρά της, η Binance έχει επισημάνει ορισμένα έξυπνα συμβόλαια ClearFake ως κακόβουλα στο BSCScan, τον κυρίαρχο εξερευνητή Binance Smart Chain. Εδώ, προειδοποιεί τους εξερευνητές blockchain ότι οι διευθύνσεις του εισβολέα αποτελούν μέρος μιας επίθεσης phishing.
Ωστόσο, παρέχει λίγες χρήσιμες πληροφορίες σχετικά με τη μορφή της επίθεσης. ΕΙΔΙΚΑ, Το BSCScan δεν εμφανίζει προειδοποιήσεις για τα πραγματικά θύματα όπου συμβαίνουν οι εισβολές: μέσα στα προγράμματα περιήγησής τους.
Συμβουλές προγράμματος περιήγησης Ιστού για να αποφύγετε το EtherHiding
Το WordPress έχει γίνει διαβόητο ως στόχος εισβολέων, με το ένα τέταρτο όλων των ιστότοπων να χρησιμοποιούν την πλατφόρμα.
- Δυστυχώς, περίπου το ένα πέμπτο των ιστοτόπων WordPress δεν έχει αναβαθμιστεί στην πιο πρόσφατη έκδοση, η οποία εκθέτει τους χρήστες του Διαδικτύου σε κακόβουλο λογισμικό όπως το EtherHiding.
- Οι διαχειριστές του ιστότοπου θα πρέπει να εφαρμόζουν ισχυρά μέτρα ασφαλείας, όπως η διατήρηση των διαπιστευτηρίων σύνδεσης ασφαλή, η κατάργηση των παραβιασμένων προσθηκών, η ασφάλεια των κωδικών πρόσβασης και ο περιορισμός της πρόσβασης διαχειριστή.
- Οι διαχειριστές του WordPress θα πρέπει να αναβαθμίζουν καθημερινά το WordPress και τις προσθήκες του και να αποφεύγουν τη χρήση προσθηκών με ευπάθειες.
- Οι διαχειριστές του WordPress θα πρέπει επίσης να αποφεύγουν να χρησιμοποιούν το «admin» ως όνομα χρήστη για τους λογαριασμούς διαχείρισης του WordPress.
Από εκεί και πέρα, η επίθεση EtherHiding/ClearFake είναι δύσκολο να αποκλειστεί. Οι χρήστες του Διαδικτύου θα πρέπει απλώς να είναι προσεκτικοί με οποιαδήποτε απροσδόκητη ειδοποίηση «Το πρόγραμμα περιήγησής σας χρειάζεται ενημέρωση», ειδικά όταν επισκέπτονται έναν ιστότοπο που χρησιμοποιεί WordPress. Οι χρήστες θα πρέπει να ενημερώνουν το πρόγραμμα περιήγησής τους μόνο από την περιοχή ρυθμίσεων του προγράμματος περιήγησης — όχι κάνοντας κλικ σε ένα κουμπί σε έναν ιστότοπο, όσο ρεαλιστικό κι αν φαίνεται.
Έχετε μια συμβουλή; Στείλτε μας ένα email ή ProtonMail. Για περισσότερα ενημερωμένα νέα, ακολουθήστε μας X, Instagram, Γαλάζιος ουρανός, να ειδήσεις Googleή εγγραφείτε στο YouTube κανάλι.
Πηγή: https://protos.com/etherhiding-hack-uses-binance-blockchain-to-extort-wordpress-users/