EtherHiding offre ai criminali informatici l'accesso a reti blockchain impermeabili ai takedown

I giorni in cui le forze dell'ordine potevano effettuare sequestri di alto profilo dell'infrastruttura utilizzata dai criminali informatici per lanciare attacchi informatici potrebbero volgere al termine a causa delle reti blockchain.

Utilizzando un approccio noto come EtherHiding, i sindacati di criminali informatici stanno ora copiando un metodo di distribuzione di malware utilizzando reti blockchain che è stato pionierizzato da hacker che lavorano per conto della Corea del Nord. Ora un sindacato più motivato finanziariamente noto come UNC5142 sta utilizzando la stessa tecnica per trasformare più di 14.000 siti WordPress legittimi in una rete di distribuzione di malware che potrebbe dimostrarsi impossibile da abbattere.

UNC5142 attacca inizialmente questi siti distribuendo pagine di attacco tramite servizi legittimi come Cloudflare Pages per sfruttare la fiducia nell'infrastruttura riconoscibile. Le esche comunemente utilizzate includono schermi reCAPTCHA falsi, accordi sulla privacy dei dati e messaggi di errore Cloudflare contraffatti. Le vittime vengono manipolate per eseguire comandi dannosi attraverso tecniche "ClickFix". Il payload finale — infostealer come VIDAR, ATOMIC e LUMMAC.V2 — viene consegnato come dati crittografati mascherati da tipi di file innocui, quindi decrittografati ed eseguiti interamente in memoria per eludere il rilevamento.

Un leggero loader JavaScript viene quindi iniettato nel sito compromesso. Quando gli utenti visitano la pagina infetta, il loader interroga un contratto intelligente su Ethereum o BNB Smart Chain utilizzando una chiamata di funzione in sola lettura per garantire che non vi sia alcuna cronologia delle transazioni. Il payload recuperato distribuisce infostealer, ransomware o schermate di autenticazione false. Ancora più difficile, i cyberattaccanti possono ruotare le campagne senza toccare il codice inizialmente iniettato nei siti web compromessi.

Impatto a lungo termine sul panorama delle minacce

Non c'è modo di costringere nessuna di queste reti blockchain decentralizzate a conformarsi a un'ordinanza del tribunale, quindi finché le reti Ethereum o BNB Smart Chain funzionano, l'infrastruttura utilizzata per lanciare questi attacchi malware continuerà a persistere. Gli smart contract creati tramite una rete blockchain non sono in grado di distinguere tra applicazioni legittime e un server di comando e controllo utilizzato per distribuire malware. Non ci sono server che le forze dell'ordine possano identificare e sequestrare come parte di un raid.

L'unico modo per sventare questi attacchi è impedire che un sito WordPress o un ambiente applicativo web simile venga compromesso in primo luogo, il che richiederà di applicare maggiore rigore nella scansione delle pagine e dei plug-in per i collegamenti a reti esterne. La sfida, come sempre, è che le persone che costruiscono questi siti non tendono ad avere molta esperienza in sicurezza informatica.

Allo stesso modo preoccupante, scansionare ogni pagina web alla ricerca di link esterni a reti blockchain è un compito colossale e molte organizzazioni non dispongono del tempo, del denaro e delle risorse per intraprenderlo, il che è una situazione triste su cui contano sindacati come UNC5142. A questo punto, i team di sicurezza informatica dovrebbero presumere che molti altri sindacati di criminali informatici seguiranno l'esempio di EtherHiding di UNC5142.

La sicurezza informatica è sempre stata un gioco di whack-a-mole. Ciò che sta cambiando è che, grazie alla blockchain, la talpa è ora molto più capace di resistere a qualsiasi colpo che un'agenzia di applicazione della legge potrebbe infliggere.