Los ciberdelincuentes están distribuyendo malware a través de sitios web pirateados basados en WordPress, utilizando contratos inteligentes de la red BNB Chain (BSC) para ocultarlo. El nuevo esquema ha sido bautizado como EtherHiding.
Los analistas de la empresa de ciberseguridad Guardio Labs han descubierto un nuevo método de distribución de malware que han bautizado como EtherHiding. Lo que hace especial a este nuevo truco es que los hackers utilizan contratos inteligentes de BNB Chain (BSC) para ocultar el código malicioso.
El método EtherHiding se utiliza con mayor frecuencia contra sitios que funcionan con WordPress. Los analistas se inclinan a pensar que el nuevo tipo de ataque está diseñado e implementado por hackers específicamente para este tipo de recursos web. Los atacantes utilizan los sitios comprometidos para cargar malware que roba información, como RedLine, Amadey o Lumma.
La esencia del método es la implementación de código JavaScript oculto en el armazón de software de los sitios comprometidos. Gracias a este código, los hackers pueden modificar cualquier información del sitio web y mostrar, por ejemplo, capas superpuestas de aspecto plausible con enlaces de phishing que ofrecen “actualizar el navegador”.
Partes del código malicioso hacen referencia a datos almacenados en contratos inteligentes de la red blockchain BSC. Esto permite a los hackers modificar rápidamente fragmentos de código individuales con cada nueva sesión, lo que los hace más difíciles de detectar. En esencia, los atacantes utilizan la red blockchain como una plataforma anónima de almacenamiento en la nube. Resulta casi imposible rastrear el origen del código una vez modificado, debido a los mecanismos de descentralización.
Recordemos que los analistas de Solidus Labs descubrieron anteriormente que aproximadamente uno de cada ocho contratos inteligentes de BNB Chain es fraudulento.