黑客使用幣安智能鏈合約保存惡意腳本

在該網(wǎng)絡(luò)攻擊活動(dòng)中,攻擊者使用劫持的WordPress網(wǎng)站誤導(dǎo)用戶下載惡意虛造的瀏覽器更新,然后將用戶重定向到Cloudflare Worker主機(jī)來(lái)注入惡意腳本到被黑的網(wǎng)站。由于濫用的Cloudflare Worker主機(jī)被攔截,隨后攻擊者轉(zhuǎn)向使用去中心化、匿名的公開區(qū)塊鏈系統(tǒng)提供更加可靠和隱蔽的分發(fā)信道,使用區(qū)塊鏈系統(tǒng)使得攻擊活動(dòng)難以檢測(cè)和攔截。

本文來(lái)自微信公眾號(hào)“嘶吼專業(yè)版”,作者/ang010ela。

Guardio Labs研究人員Nati Tal和Oleg Zaytsev發(fā)現(xiàn)黑客使用了一種名為EtherHiding的代碼分發(fā)技術(shù),濫用幣安智能鏈(BSC)的智能合約來(lái)隱藏惡意腳本。在該網(wǎng)絡(luò)攻擊活動(dòng)中,攻擊者使用劫持的WordPress網(wǎng)站誤導(dǎo)用戶下載惡意虛造的瀏覽器更新,然后將用戶重定向到Cloudflare Worker主機(jī)來(lái)注入惡意腳本到被黑的網(wǎng)站。由于濫用的Cloudflare Worker主機(jī)被攔截,隨后攻擊者轉(zhuǎn)向使用去中心化、匿名的公開區(qū)塊鏈系統(tǒng)提供更加可靠和隱蔽的分發(fā)信道,使用區(qū)塊鏈系統(tǒng)使得攻擊活動(dòng)難以檢測(cè)和攔截。

EtherHiding惡意軟件

EtherHiding是名為ClearFake的黑客組織用來(lái)分發(fā)代碼的新技術(shù),分發(fā)的代碼被注入到被黑的網(wǎng)站上以展示虛假的瀏覽器更新,Guardio Labs研究人員解釋稱黑客正在攻擊有價(jià)值的WordPress網(wǎng)站或被黑的管理員憑證來(lái)注入兩個(gè)腳本標(biāo)簽到網(wǎng)站。這些腳本注入會(huì)加載幣安智能鏈JS庫(kù),并從區(qū)塊鏈取回惡意腳本,并注入到網(wǎng)站中。

1.png

圖為連接幣安鏈的JS

從幣安鏈取回的代碼會(huì)注入到網(wǎng)站中,以觸發(fā)第三階段payload的下載。第三階段payload是從攻擊者所有的C2服務(wù)器下載的,C2地址直接來(lái)源于區(qū)塊鏈,所以攻擊者可以很輕松地修改以繞過攔截方法。用戶瀏覽器中運(yùn)行的第三階段payload會(huì)在網(wǎng)站上展示一個(gè)虛假的覆蓋,要求用戶更新Chrome、Edge或Firefox瀏覽器。

1.png

圖為展示在被黑網(wǎng)站上的虛假Chrome更新

一旦受害者點(diǎn)擊更新按鈕,就會(huì)被重定向到Dropbox或其他合法的托管網(wǎng)站來(lái)下載惡意可執(zhí)行文件。

1.png

圖為最新的ClearFake攻擊鏈

使用區(qū)塊鏈的優(yōu)勢(shì)

區(qū)塊鏈?zhǔn)怯脕?lái)運(yùn)行去中心化應(yīng)用和智能合約的,區(qū)塊鏈上的代碼無(wú)法被修改和刪除,所以使用區(qū)塊鏈作為基礎(chǔ)設(shè)施可以使得攻擊活動(dòng)無(wú)法被攔截。如果其中一個(gè)域名被識(shí)別和標(biāo)記,攻擊者可以更新鏈來(lái)交換為其他惡意代碼和相關(guān)的域名。此外,做這些修改不會(huì)產(chǎn)生費(fèi)用,所以網(wǎng)絡(luò)犯罪分子可以濫用這些系統(tǒng)進(jìn)行攻擊活動(dòng)而無(wú)需承擔(dān)額外的成本。

1.png

圖為惡意智能合約

智能合約部署在幣安鏈上后,可以匿名運(yùn)行,且無(wú)法被阻止。即使將該地址報(bào)告為惡意的,也無(wú)法阻止其分發(fā)惡意代碼。Guardio Labs稱報(bào)告該地址會(huì)觸發(fā)幣安鏈瀏覽器頁(yè)面的告警不要與該地址交互,但被黑的WordPress網(wǎng)站訪問者不會(huì)看到這樣的告警信息。

1.png

圖為幣安鏈上報(bào)告的地址

解決這一問題的唯一方法就是關(guān)注WordPress安全,使用強(qiáng)、唯一的管理員密碼,保持插件更新,移除不使用的賬戶。隨著區(qū)塊鏈方法的優(yōu)勢(shì),未來(lái)區(qū)塊鏈濫用于payload分發(fā)會(huì)變得越來(lái)越頻繁。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論