Guardio Labs 研究人員 Nati Tal 和 Oleg Zaytsev 發現黑客使用了一種名爲 EtherHiding 的代碼分發技術,濫用币安智能鏈(BSC)的智能合約來隐藏惡意腳本。在該網絡攻擊活動中,攻擊者使用劫持的 WordPress 網站誤導用戶下載惡意虛造的浏覽器更新,然後将用戶重定向到 Cloudflare Worker 主機來注入惡意腳本到被黑的網站。由于濫用的 Cloudflare Worker 主機被攔截,随後攻擊者轉向使用去中心化、匿名的公開區塊鏈系統提供更加可靠和隐蔽的分發信道,使用區塊鏈系統使得攻擊活動難以檢測和攔截。
EtherHiding 惡意軟件
EtherHiding 是名爲 ClearFake 的黑客組織用來分發代碼的新技術,分發的代碼被注入到被黑的網站上以展示虛假的浏覽器更新,Guardio Labs 研究人員解釋稱黑客正在攻擊有價值的 WordPress 網站或被黑的管理員憑證來注入兩個腳本标簽到網站。這些腳本注入會加載币安智能鏈 JS 庫,并從區塊鏈取回惡意腳本,并注入到網站中。
圖爲連接币安鏈的 JS
從币安鏈取回的代碼會注入到網站中,以觸發第三階段 payload 的下載。第三階段 payload 是從攻擊者所有的 C2 服務器下載的,C2 地址直接來源于區塊鏈,所以攻擊者可以很輕松地修改以繞過攔截方法。用戶浏覽器中運行的第三階段 payload 會在網站上展示一個虛假的覆蓋,要求用戶更新 Chrome、Edge 或 Firefox 浏覽器。
圖爲展示在被黑網站上的虛假 Chrome 更新
一旦受害者點擊更新按鈕,就會被重定向到 Dropbox 或其他合法的托管網站來下載惡意可執行文件。
圖爲最新的 ClearFake 攻擊鏈
使用區塊鏈的優勢
區塊鏈是用來運行去中心化應用和智能合約的,區塊鏈上的代碼無法被修改和删除,所以使用區塊鏈作爲基礎設施可以使得攻擊活動無法被攔截。如果其中一個域名被識别和标記,攻擊者可以更新鏈來交換爲其他惡意代碼和相關的域名。此外,做這些修改不會産生費用,所以網絡犯罪分子可以濫用這些系統進行攻擊活動而無需承擔額外的成本。
圖爲惡意智能合約
智能合約部署在币安鏈上後,可以匿名運行,且無法被阻止。即使将該地址報告爲惡意的,也無法阻止其分發惡意代碼。Guardio Labs 稱報告該地址會觸發币安鏈浏覽器頁面的告警不要與該地址交互,但被黑的 WordPress 網站訪問者不會看到這樣的告警信息。
圖爲币安鏈上報告的地址
解決這一問題的唯一方法就是關注 WordPress 安全,使用強、唯一的管理員密碼,保持插件更新,移除不使用的賬戶。随着區塊鏈方法的優勢,未來區塊鏈濫用于 payload 分發會變得越來越頻繁。
更多技術細節參見:https://labs.guard.io/etherhiding-hiding-web2-malicious-code-in-web3-smart-contracts-65ea78efad16
