Gli hacker stanno ospitando codice malevolo sulla Smart Chain di Binance e lo stanno distribuendo alle persone tramite contratti intelligenti. Questa tattica rende la campagna di malware estremamente resiliente e difficile da abbattere.
Dettagli sulla campagna
Guardio Labs, che ha scoperto questa tattica, la descrive come il “prossimo livello di hosting a prova di proiettile”. Binance è una delle borse di criptovaluta più popolari al mondo e ha la sua blockchain, chiamata Binance Smart Chain, che è essenzialmente una concorrente di Ethereum. Quest’ultima è una “world computer” utilizzata per creare e ospitare app decentralizzate (dApps). La Binance Smart Chain ha commissioni più basse e tempi di transazione più rapidi rispetto a Ethereum.
Come funziona l’attacco
La campagna degli hacker, denominata EtherHiding, inizia individuando un sito WordPress vulnerabile, ad esempio con una password facile da indovinare o un add-on obsoleto. Una volta ottenuto l’accesso, creano un overlay sul sito, avvisando i visitatori che il loro browser è obsoleto e che è necessaria una patch. Aggiungono anche un codice JavaScript offuscato che crea un contratto intelligente e interroga la Binance Smart Chain. Se la vittima clicca sul pulsante di download, lo script viene eseguito, crea il contratto intelligente e recupera uno script malevolo ospitato sulla blockchain. Questo metodo di hosting del codice malevolo lo rende praticamente impossibile da bloccare.
Conseguenze per le vittime
Le vittime finiranno per installare un infostealer sui loro endpoint, che potrebbe essere Amadey, Lumma o RedLine. Purtroppo, c’è ben poco che si può fare al riguardo, se non segnalare gli indirizzi e i contratti di Binance Smart Chain associati come malevoli e utilizzati in una campagna di phishing.