Raziskovalci pri Guardio Labs so odkrili nov napad, znan kot 'EtherHiding', ki uporablja Binance Smart Chain in Bullet-Proof Hosting za serviranje zlonamerne kode v spletnih brskalnikih žrtev.
Za razliko od prejšnjega nabora lažnih posodobitvenih vdorov, ki so izkoriščali WordPress, ta različica uporablja novo orodje: Binanceov blockchain. Prejšnje različice brez verige blokov so obisk spletne strani prekinile z realističnim pozivom »Posodobi« v slogu brskalnika. Žrtvin klik z miško je namestil zlonamerno programsko opremo.
Zaradi poceni, hitre in slabo nadzorovane programabilnosti Binance Smart Chain lahko hekerji neposredno iz te verige blokov posredujejo uničujoč tovor kode.
Da bo jasno, to ni napad MetaMask. Hekerji preprosto servirajo zlonamerno kodo znotraj spletnih brskalnikov žrtev, ki je videti kot katera koli spletna stran, ki jo heker želi ustvariti – gostuje in služi na neustavljiv način. Hekerji z uporabo Binanceove verige blokov za serviranje kode napadajo žrtve za različne izsiljevalske prevare. Prav zares, EtherHiding cilja celo na žrtve brez kriptovalut.
Preberite več: Reuters namiguje na 'temne skrivnosti' okoli Binance in njegovih rezerv
Ugrabitev brskalnika za krajo vaših podatkov
V zadnjih nekaj mesecih so se lažne posodobitve brskalnika razširile. Nič hudega sluteči uporabniki interneta naletijo na verodostojno, na skrivaj ogroženo spletno stran. Vidijo goljufivo posodobitev brskalnika in odsotno kliknejo »Posodobi«. Hekerji takoj namestijo zlonamerno programsko opremo, kot so RedLine, Amadey ali Lumma. Ta vrsta zlonamerne programske opreme, znana kot "infostealer", se pogosto skriva prek napadov trojancev, ki so navidezno videti kot legitimna programska oprema.
Različica EtherHiding teh napadov na posodobitve, ki temeljijo na WordPressu uporablja močnejši infostealer, ClearFake. Z uporabo ClearFake EtherHiding vbrizga kodo JS v nič hudega sluteče uporabnike.
V prejšnji različici ClearFake se je nekaj kode zanašalo na strežnike CloudFlare. CloudFlare je odkril in odstranil to zlonamerno kodo, ki je uničila nekatere funkcionalnosti napada ClearFake.
Na žalost so se napadalci naučili, kako se izogniti kibernetski varnosti usmerjenim gostiteljem, kot je CloudFlare. V Binance so našli popolnega gostitelja.
Predvsem napad EtherHiding preusmeri svoj promet na strežnike Binance. Uporablja zakrito kodo Base64, ki poizveduje po Binance Smart Chain (BSC) in inicializira pogodbo BSC z naslovom, ki ga nadzirajo napadalci. Predvsem kliče nekatere komplete za razvoj programske opreme (SDK-je), kot je Binanceov eth_call, ki simulira izvajanje pogodbe in se lahko uporablja za klicanje zlonamerne kode.
Kot so raziskovalci Guardio Labs zagovarjali v svojih objavah Medium, bi Binance lahko ublažil ta napad tako, da onemogoči poizvedbe do naslovov, ki jih je označil kot zlonamerne, ali onemogoči eth_call SDK.
Binance pa je nekatere pametne pogodbe ClearFake označil kot zlonamerne na BSCScan, prevladujočem raziskovalcu Binance Smart Chain. Tukaj opozori raziskovalce verige blokov, da so napadalčevi naslovi del lažnega predstavljanja.
Vendar ponuja malo koristnih informacij o obliki napada. Natančneje, BSCScan ne prikaže opozoril dejanskim žrtvam, kjer pride do vdorov: znotraj svojih spletnih brskalnikov.
Nasveti za spletni brskalnik, kako se izogniti EtherHidingu
WordPress je postal razvpit kot tarča napadalcev, saj to platformo uporablja četrtina vseh spletnih mest.
- Na žalost približno ena petina spletnih mest WordPress ni nadgrajena na najnovejšo različico, zaradi česar so internetni deskarji izpostavljeni zlonamerni programski opremi, kot je EtherHiding.
- Skrbniki spletnega mesta bi morali izvajati robustne varnostne ukrepe, kot so varovanje poverilnic za prijavo, odstranjevanje ogroženih vtičnikov, varovanje gesel in omejevanje skrbniškega dostopa.
- Skrbniki WordPressa bi morali dnevno nadgrajevati WordPress in njegove vtičnike ter se izogibati uporabi vtičnikov z ranljivostmi.
- Skrbniki WordPressa naj se tudi izogibajo uporabi 'admin' kot uporabniškega imena za svoje skrbniške račune WordPress.
Poleg tega je napad EtherHiding/ClearFake težko blokirati. Uporabniki interneta bi morali biti previdni pred kakršnim koli nepričakovanim obvestilom »Vaš brskalnik potrebuje posodobitev«, zlasti ko obiščejo spletno mesto, ki uporablja WordPress. Uporabniki naj svoj brskalnik posodobijo samo iz območja z nastavitvami brskalnika — ne s klikom gumba na spletnem mestu, ne glede na to, kako realistično se zdi.
Imate nasvet? Pošljite nam e-pošto ali ProtonMail. Za več informacij nas spremljajte X, Instagram, Modro neboin Google Newsali se naročite na našo YouTube kanal.
Vir: https://protos.com/etherhiding-hack-uses-binance-blockchain-to-extort-wordpress-users/