I ricercatori di Guardio Labs hanno scoperto un nuovo attacco noto come "EtherHiding", che utilizza Binance Smart Chain e Bullet-Proof Hosting per fornire codice dannoso all'interno dei browser web delle vittime.
A differenza di una precedente suite di falsi aggiornamenti che sfruttavano WordPress, questa variante utilizza un nuovo strumento: La blockchain di Binance. In precedenza, le varianti non blockchain interrompevano la visita di una pagina Web con un messaggio di "Aggiornamento" dall'aspetto realistico, in stile browser. Il clic del mouse di una vittima ha installato malware.
A causa della programmabilità economica, veloce e scarsamente controllata di Binance Smart Chain, gli hacker possono fornire un carico devastante di codice direttamente da questa blockchain.
Per essere chiari, questo non è un attacco MetaMask. Gli hacker inseriscono semplicemente codice dannoso nei browser web delle vittime che assomiglia a qualsiasi pagina web che l'hacker desidera creare, ospitato e servito in modo inarrestabile. Utilizzando la blockchain di Binance per fornire codice, gli hacker attaccano le vittime di varie truffe di estorsione. Infatti, EtherHiding prende di mira anche le vittime che non possiedono criptovalute.
Per saperne di più: Reuters accenna a "segreti oscuri" che circondano Binance e le sue riserve
Dirottamento del browser per rubare le tue informazioni
Negli ultimi mesi si sono moltiplicati gli aggiornamenti falsi del browser. Gli ignari utenti di Internet si imbattono in un sito Web credibile e segretamente compromesso. Vedono un aggiornamento fraudolento del browser e distrattamente fanno clic su "Aggiorna". Immediatamente, gli hacker installano malware come RedLine, Amadey o Lumma. Questo tipo di malware, noto come "infostealer", spesso si nasconde tramite attacchi trojan che hanno l'apparenza superficiale di software legittimo.
La versione EtherHiding di questi attacchi di aggiornamento basati su WordPress utilizza un infostealer più potente, ClearFake. Utilizzando ClearFake, EtherHiding inietta il codice JS nei computer degli utenti ignari.
In una versione precedente di ClearFake, parte del codice si basava sui server CloudFlare. CloudFlare ha rilevato ed eliminato quel codice dannoso, che ha compromesso alcune funzionalità dell'attacco ClearFake.
Sfortunatamente, gli aggressori hanno imparato come eludere host attenti alla sicurezza informatica come CloudFlare. Hanno trovato un ospite perfetto in Binance.
In particolare l'attacco EtherHiding reindirizza il suo traffico ai server Binance. Utilizza un codice Base64 offuscato che interroga Binance Smart Chain (BSC) e inizializza un contratto BSC con un indirizzo controllato dagli aggressori. In particolare, richiama alcuni kit di sviluppo software (SDK) come eth_call di Binance, che simulano l'esecuzione del contratto e possono essere utilizzati per richiamare codice dannoso.
Come hanno affermato i ricercatori di Guardio Labs nei loro post su Medium, Binance potrebbe mitigare questo attacco disabilitando le query sugli indirizzi contrassegnati come dannosi o disabilitando l'SDK eth_call.
Da parte sua, Binance ha contrassegnato alcuni contratti intelligenti ClearFake come dannosi su BSCScan, l'esploratore dominante di Binance Smart Chain. In questo caso avvisa gli esploratori della blockchain che gli indirizzi dell'aggressore fanno parte di un attacco di phishing.
Tuttavia, fornisce poche informazioni utili sulla forma dell'attacco. Nello specifico, BSCScan non visualizza avvisi alle vittime effettive nel luogo in cui si verificano gli attacchi: all'interno dei loro browser web.
Suggerimenti per il browser Web per evitare EtherHiding
WordPress è diventato noto per essere un bersaglio per gli aggressori, con un quarto di tutti i siti Web che utilizzano la piattaforma.
- Sfortunatamente, circa un quinto dei siti Web WordPress non è stato aggiornato alla versione più recente, il che espone gli internauti a malware come EtherHiding.
- Gli amministratori dei siti dovrebbero implementare solide misure di sicurezza come mantenere le credenziali di accesso sicure, rimuovere plug-in compromessi, proteggere le password e limitare l'accesso amministrativo.
- Gli amministratori di WordPress dovrebbero aggiornare quotidianamente WordPress e i suoi plugin ed evitare di utilizzare plugin con vulnerabilità.
- Gli amministratori di WordPress dovrebbero anche evitare di utilizzare "admin" come nome utente per i propri account di amministrazione di WordPress.
Oltre a ciò, l’attacco EtherHiding/ClearFake è difficile da bloccare. Gli utenti di Internet dovrebbero semplicemente prestare attenzione a qualsiasi notifica inaspettata "Il tuo browser deve essere aggiornato", soprattutto quando visitano un sito Web che utilizza WordPress. Gli utenti devono aggiornare il proprio browser solo dall'area delle impostazioni del browser – non facendo clic su un pulsante all’interno di un sito Web, non importa quanto possa sembrare realistico.
Hai una mancia? Inviaci un'e-mail o ProtonMail. Per notizie più informate, seguici su X, Instagram, Cielo blue Google Newso iscriviti al nostro YouTube .
Fonte: https://protos.com/etherhiding-hack-uses-binance-blockchain-to-extort-wordpress-users/