Аналитики кибербезопасности обнаружили, что, несмотря на название «EtherHiding», новый вектор атаки, который скрывает вредоносный код в смарт-контрактах блокчейна, вообще не имеет ничего общего с Ethereum.

Как сообщил Cointelegraph 16 октября, EtherHiding был обнаружен как новый способ для злоумышленников скрыть вредоносные полезные данные внутри смарт-контрактов — с конечной целью распространения вредоносного ПО среди ничего не подозревающих жертв.

Понятно, что эти киберпреступники, как правило, предпочитают использовать BNB Smart Chain от Binance.

В беседе с Cointelegraph Джо Грин, исследователь безопасности из компании CertiK, занимающейся безопасностью блокчейнов, сказал, что большая часть этого связана с более низкими затратами BNB Smart Chain.

«Комиссия за обработку BSC намного дешевле, чем у ETH, но стабильность и скорость сети такие же, поскольку каждое обновление полезной нагрузки JavaScript обходится очень дешево, а это означает отсутствие финансового давления».

Атаки EtherHiding инициируются хакерами, которые компрометируют веб-сайты WordPress и внедряют код, который извлекает частичные полезные данные, спрятанные в смарт-контрактах Binance. Интерфейс веб-сайта заменен фальшивым приглашением браузера обновиться, при нажатии на которое извлекается полезная нагрузка JavaScript из блокчейна Binance.

Злоумышленники часто меняют полезные нагрузки вредоносного ПО и обновляют домены веб-сайтов, чтобы избежать обнаружения. Это позволяет им постоянно предоставлять пользователям свежие загрузки вредоносного ПО, замаскированные под обновления браузера, пояснил Грин.

Скриншот обновлений вредоносного ПО, развертываемых в смарт-контракте BSC. Источник: Сертик
Скриншот обновлений вредоносного ПО, развертываемых в смарт-контракте BSC. Источник: Сертик

Другая причина, по мнению исследователей безопасности из аналитической компании Web3 0xScope, может заключаться в усилении контроля над безопасностью Ethereum.

«Хотя мы вряд ли узнаем истинные мотивы хакеров EtherHiding для использования BNB Smart Chain вместо других блокчейнов для своей схемы, одним из возможных факторов является повышенное внимание к Ethereum, связанное с безопасностью».

По их словам, хакеры могут столкнуться с более высоким риском обнаружения, внедряя свой вредоносный код с помощью Ethereum из-за таких систем, как отслеживание IP-адресов Infura для транзакций MetaMask.

Команда 0xScope сообщила Cointelegraph, что недавно они отслеживали денежный поток между хакерскими адресами в BNB Smart Chain и Ethereum.

Ключевые адреса были связаны с пользователями торговой площадки NFT OpenSea и кастодиальными службами Copper, сообщается в сообщении.

Полезные данные обновлялись ежедневно в 18 выявленных хакерских доменах. Из-за этой сложности EtherHiding трудно обнаружить и остановить, заключили в фирме.

Журнал: Должны ли криптопроекты когда-либо вести переговоры с хакерами? Вероятно

Источник