.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
Guardio Labs研究人員Nati Tal和Oleg Zaytsev發現黑客使用了一種名為EtherHiding的代碼分發技術,濫用幣安智能鏈(BSC)的智能合約來隱藏惡意腳本。在該網絡攻擊活動中,攻擊者使用劫持的WordPress網站誤導用戶下載惡意虛造的瀏覽器更新,然後將用戶重定向到Cloudflare Worker主機來注入惡意腳本到被黑的網站。由於濫用的Cloudflare Worker主機被攔截,隨後攻擊者轉向使用去中心化、匿名的公開區塊鏈系統提供更加可靠和隱蔽的分發信道,使用區塊鏈系統使得攻擊活動難以檢測和攔截。
EtherHiding惡意軟件EtherHiding是名為ClearFake的黑客組織用來分發代碼的新技術,分發的代碼被注入到被黑的網站上以展示虛假的瀏覽器更新,Guardio Labs研究人員解釋稱黑客正在攻擊有價值的WordPress網站或被黑的管理員憑證來注入兩個腳本標籤到網站。這些腳本注入會加載幣安智能鏈JS庫,並從區塊鏈取回惡意腳本,並註入到網站中。
圖為連接幣安鏈的JS
從幣安鏈取回的代碼會注入到網站中,以觸發第三階段payload的下載。第三階段payload是從攻擊者所有的C2服務器下載的,C2地址直接來源於區塊鏈,所以攻擊者可以很輕鬆地修改以繞過攔截方法。用戶瀏覽器中運行的第三階段payload會在網站上展示一個虛假的覆蓋,要求用戶更新Chrome、Edge或Firefox瀏覽器。
圖為展示在被黑網站上的虛假Chrome更新
一旦受害者點擊更新按鈕,就會被重定向到Dropbox或其他合法的託管網站來下載惡意可執行文件。
圖為最新的ClearFake攻擊鏈
使用區塊鏈的優勢區塊鍊是用來運行去中心化應用和智能合約的,區塊鏈上的代碼無法被修改和刪除,所以使用區塊鏈作為基礎設施可以使得攻擊活動無法被攔截。如果其中一個域名被識別和標記,攻擊者可以更新鏈來交換為其他惡意代碼和相關的域名。此外,做這些修改不會產生費用,所以網絡犯罪分子可以濫用這些系統進行攻擊活動而無需承擔額外的成本。
圖為惡意智能合約
智能合約部署在幣安鏈上後,可以匿名運行,且無法被阻止。即使將該地址報告為惡意的,也無法阻止其分發惡意代碼。 Guardio Labs稱報告該地址會觸發幣安鏈瀏覽器頁面的告警不要與該地址交互,但被黑的WordPress網站訪問者不會看到這樣的告警信息。
圖為幣安鏈上報告的地址
解決這一問題的唯一方法就是關注WordPress安全,使用強、唯一的管理員密碼,保持插件更新,移除不使用的賬戶。隨著區塊鏈方法的優勢,未來區塊鏈濫用於payload分發會變得越來越頻繁。
更多技術細節參見:https://labs.guard.io/etherhiding-hiding-web2-malicious-code-in-web3-smart-contracts-65ea78efad16