Киберпреступники распространяют вредоносные программы через взломанные сайты на основе WordPress, используя для их сокрытия смарт-контракты в сети BNB Chain (BSC). Новая схема получила название EtherHiding.
Аналитики компании по кибербезопасности Guardio Labs обнаружили новый метод распространения вредоносного ПО, названный ими EtherHiding. Особенность новой уловки заключается в том, что хакеры используют смарт-контракты BNB Chain (BSC) для сокрытия вредоносного кода.
Чаще всего метод EtherHiding используется против сайтов, работающих на WordPress. Аналитики склоняются к мысли, что новый тип атак разработан и реализован хакерами именно для такого типа веб-ресурсов. Злоумышленники используют взломанные сайты, чтобы загружать на них вредоносное ПО, которое похищает информацию, такое как RedLine, Amadey или Lumma.
Суть метода заключается в имплементации в программную оболочку взломанных сайтов скрытого JavaScript-кода. Благодаря этому коду хакеры получают возможность изменять любую информацию на интернет-площадке и демонстрировать на ней, например, правдоподобно выглядящие наложения с фишинговыми ссылками, предлагающими «обновить браузер».
Части вредоносного кода ссылаются на данные, которые хранятся в смарт-контрактах блокчейн-сети BSC. Благодаря этому хакерам удается оперативно изменять отдельные фрагменты кода при каждой новой сессии, что усложняет их обнаружение. По сути, злоумышленники используют блокчейн-сеть в качестве анонимной платформы для облачного хранения. Отследить источник кода после его изменения становится практически невозможно благодаря механизмам децентрализации.
Напомним, аналитики Solidus Labs ранее обнаружили, что примерно каждый восьмой смарт-контракт на BNB Chain является мошенническим.