Una delle truffe malware più antiche – siti web compromessi che affermano che i visitatori devono aggiornare il loro browser web prima di poter visualizzare qualsiasi contenuto – è tornata prepotentemente negli ultimi mesi. Nuove ricerche mostrano che gli autori dietro una tale truffa hanno sviluppato un modo ingegnoso per impedire che il loro malware venga eliminato da esperti di sicurezza o dalle forze dell’ordine: ospitando i file dannosi su una blockchain di criptovaluta decentralizzata e anonima.
La truffa ClearFake
Nell’agosto 2023, il ricercatore di sicurezza Randy McEoin ha scritto di una truffa che ha chiamato “ClearFake”, che utilizza siti WordPress compromessi per presentare ai visitatori una pagina che afferma che è necessario aggiornare il browser per visualizzare il contenuto. Gli avvisi falsi del browser sono specifici per il browser utilizzato. Coloro che vengono ingannati a cliccare sul pulsante di aggiornamento riceveranno un file dannoso sul loro sistema che cerca di installare un trojan ladro di informazioni.
Evoluzione della truffa
Questo mese, i ricercatori della società di sicurezza con sede a Tel Aviv, Guardio, hanno rilevato una versione aggiornata della truffa ClearFake. In precedenza, il gruppo aveva archiviato i suoi file di aggiornamento dannosi su Cloudflare. Tuttavia, quando Cloudflare ha bloccato quegli account, gli aggressori hanno iniziato a memorizzare i loro file dannosi come transazioni di criptovaluta nella Binance Smart Chain (BSC), una tecnologia progettata per eseguire app decentralizzate e “smart contract”.
Hosting di file dannosi sulla Binance Smart Chain
Nati Tal, responsabile della sicurezza di Guardio Labs, ha dichiarato che gli script dannosi inseriti nei siti WordPress compromessi creeranno un nuovo smart contract sulla blockchain BSC. Quando quel contratto viene interrogato da un sito web compromesso, restituirà un payload dannoso e offuscato.
Risposta della Binance Smart Chain
In risposta alle domande di KrebsOnSecurity, la Binance Smart Chain (BSC) ha dichiarato di essere a conoscenza del malware che abusa della sua blockchain e sta attivamente affrontando il problema. Hanno sviluppato un modello per rilevare futuri smart contract che utilizzano metodi simili per ospitare script dannosi.
Altri gruppi di minaccia
Guardio afferma che i criminali dietro lo schema di malware BSC stanno utilizzando lo stesso codice dannoso degli aggressori di cui McEoin ha scritto ad agosto. Tuttavia, un rapporto pubblicato oggi dalla società di sicurezza email Proofpoint afferma che l’azienda sta attualmente monitorando almeno quattro gruppi di minaccia distinti che utilizzano falsi aggiornamenti del browser per distribuire malware.