Вредоносный код в блокчейне: новая угроза кибербезопасности

Кибербезопасность сталкивается с новыми вызовами, и одна из последних угроз — это использование блокчейна для хранения и распространения вредоносного кода. В прошлом году злоумышленники разработали метод защиты вредоносного софта от уничтожения, разместив его в децентрализованном анонимном блокчейне. Этот метод получил название EtherHiding и представляет собой серьезную угрозу для пользователей интернета.

Метод распространения вредоносного ПО

Один из распространенных методов распространения вредоносного ПО — это обман пользователей с помощью фальшивых обновлений браузера. На взломанном сайте с вредоносным ПО размещается уведомление, что для просмотра контента необходимо обновить браузер. Жертва, не подозревая подвоха, нажимает на кнопку для скачивания обновления, тем самым самостоятельно устанавливая вредоносное ПО на свой компьютер. Этот метод был использован в прошлогодней атаке ClearFake, когда злоумышленники эксплуатировали уязвимости в плагинах WordPress и устаревшие версии CMS.

Вредоносный код в блокчейне

Чтобы защитить вредоносный код от уничтожения, злоумышленники разместили его в смарт-контракте, который навечно сохранился в открытом доступе в блокчейне. Используя Binance Smart Chain (BSC) как альтернативу Ethereum, они создали новый смарт-контракт, который взаимодействует с блокчейном BSC. Вредоносный код интегрирован в смарт-контракт, и для его считывания используется функция eth_call из Binance SDK.

Технические детали

Код смарт-контракта включает функции update и get для хранения и извлечения данных. Смарт-контракт был создан 9 сентября 2023 года под адресом 0x7f36D9292e7c70A204faCC2d255475A861487c60. Контролируемый злоумышленниками адрес был создан в конце июня 2022 года. Для создания и обновления контракта использовались BNB (монета Binance) в количестве, достаточном для оплаты комиссий за "газ" ($0,02−0,60 на каждое действие).

Финансовые аспекты и платформы

Для хранения и распространения вредоносного кода злоумышленники использовали сайты на платформе WordPress, эксплуатируя уязвимости в плагинах WP, устаревшие версии WordPress и украденные учетные записи. Этот метод позволяет им масштабировать атаки и заражать большее количество пользователей.

Авторы и публикации

Специалисты по безопасности из израильской компании Guardio описали инновационный способ хранения вредоносного кода в блокчейне. Публикация на Хабре от GlobalSign и отчет компании Sekoia также подробно рассмотрели активность ClearFake и новый тип атаки EtherHiding.

Возможно, многие зададутся вопросом: почему блокчейн стал идеальной платформой для злоумышленников? Децентрализованный и анонимный характер блокчейна делает его идеальной платформой для злоумышленников, которые могут навсегда сохранить свой код в открытом доступе. Это создает дополнительные сложности для борьбы с вредоносным ПО.

Интересно, что использование блокчейна для хранения вредоносного кода открывает новые горизонты для киберпреступников. Мне кажется, что это лишь начало, и в будущем мы увидим еще более изощренные методы атак. Как вы думаете, сможем ли мы найти эффективные способы защиты от таких угроз?

Использование блокчейна для хранения вредоносного кода представляет собой новую угрозу для кибербезопасности. Пользователям необходимо быть бдительными и не устанавливать обновления браузера с подозрительных сайтов, чтобы избежать заражения вредоносным ПО.