Guardio Labs pētnieki ir atklājuši jaunu uzbrukumu, kas pazīstams kā "EtherHiding", kas izmanto Binance Smart Chain un Bullet-Proof Hosting, lai apkalpotu ļaunprātīgu kodu upuru tīmekļa pārlūkprogrammās.
Atšķirībā no iepriekšējā viltus atjauninājumu uzlaušanas komplekta, kurā tika izmantots WordPress, šajā variantā tiek izmantots jauns rīks: Binance blokķēde. Agrāk varianti bez blokķēdes pārtrauca tīmekļa lapas apmeklējumu ar reālistiska izskata pārlūkprogrammas stila uzvedni “Atjaunināt”. Cietušais ar peles klikšķi instalēja ļaunprātīgu programmatūru.
Pateicoties Binance Smart Chain lētajai, ātrajai un slikti kontrolētajai programmējamībai, hakeri var apkalpot postošu koda slodzi tieši no šīs blokķēdes.
Lai būtu skaidrs, tas nav MetaMask uzbrukums. Hakeri upuru tīmekļa pārlūkprogrammās vienkārši piedāvā ļaunprātīgu kodu, kas izskatās kā jebkura tīmekļa lapa, ko hakeris vēlas izveidot — mitina un apkalpo neapturamā veidā. Izmantojot Binance blokķēdi, lai apkalpotu kodu, hakeri uzbrūk dažādu izspiešanas veidu upuriem. Patiešām, EtherHiding mērķis ir pat upuri, kuriem nav kriptovalūtu īpašumtiesību.
Lasīt vairāk: Reuters dod mājienus uz "tumšajiem noslēpumiem", kas apņem Binance un tās rezerves
Pārlūkprogrammas nolaupīšana, lai nozagtu jūsu informāciju
Dažu pēdējo mēnešu laikā ir izplatījušies viltoti pārlūkprogrammas atjauninājumi. Nedomājoši interneta lietotāji saskaras ar ticamu, slepeni apdraudētu vietni. Viņi redz krāpniecisku pārlūkprogrammas atjauninājumu un neprātīgi noklikšķina uz Atjaunināt. Hakeri nekavējoties instalē ļaunprātīgu programmatūru, piemēram, RedLine, Amadey vai Lumma. Šāda veida ļaunprogrammatūra, kas pazīstama kā "informācijas zaglis", bieži slēpjas Trojas zirgu uzbrukumos, kam ir virspusējs likumīgas programmatūras izskats.
Šo uz WordPress balstīto atjaunināšanas uzbrukumu EtherHiding versija izmanto jaudīgāku infostealer ClearFake. Izmantojot ClearFake, EtherHiding ievada JS kodu nenojaušo lietotāju datoros.
Iepriekšējā ClearFake versijā daži kodi balstījās uz CloudFlare serveriem. CloudFlare atklāja un novērsa šo ļaunprātīgo kodu, kas iznīcināja daļu no ClearFake uzbrukuma funkcionalitātes.
Diemžēl uzbrucēji ir iemācījušies izvairīties no tādiem kiberdrošības saimniekiem kā CloudFlare. Viņi atrada ideālu saimnieku Binance.
Īpaši EtherHiding uzbrukums novirza trafiku uz Binance serveriem. Tas izmanto aptumšotu Base64 kodu, kas vaicā Binance Smart Chain (BSC) un inicializē BSC līgumu ar adresi, kuru kontrolē uzbrucēji. Tas īpaši izsauc dažus programmatūras izstrādes komplektus (SDK), piemēram, Binance eth_call, kas simulē līguma izpildi un var tikt izmantoti ļaunprātīga koda izsaukšanai.
Kā Guardio Labs pētnieki aicināja savos Medium ziņās, Binance varētu mazināt šo uzbrukumu, atspējojot vaicājumus adresēm, kuras tas ir atzīmējis kā ļaunprātīgas, vai atspējojot eth_call SDK.
Savukārt Binance ir atzīmējis dažus ClearFake viedos līgumus kā ļaunprātīgus BSCScan, dominējošajā Binance Smart Chain pētniekā. Šeit tas brīdina blokķēdes pētniekus, ka uzbrucēja adreses ir daļa no pikšķerēšanas uzbrukuma.
Tomēr tas sniedz maz noderīgas informācijas par uzbrukuma formu. Konkrēti, BSCScan nerāda brīdinājumus faktiskajiem upuriem, kur notiek uzlaušana: viņu tīmekļa pārlūkprogrammās.
Padomi tīmekļa pārlūkprogrammai, lai izvairītos no EtherHiding
WordPress ir kļuvis bēdīgi slavens ar to, ka tas ir uzbrucēju mērķis, un viena ceturtā daļa no visām vietnēm izmanto platformu.
- Diemžēl aptuveni viena piektā daļa WordPress vietņu nav jauninātas uz jaunāko versiju, kas pakļauj interneta sērfotājus tādai ļaunprātīgai programmatūrai kā EtherHiding.
- Vietņu administratoriem ir jāievieš stingri drošības pasākumi, piemēram, pieteikšanās akreditācijas datu saglabāšana, apdraudēto spraudņu noņemšana, paroļu aizsardzība un administratora piekļuves ierobežošana.
- WordPress administratoriem katru dienu ir jājaunina WordPress un tā spraudņi un jāizvairās no spraudņu izmantošanas ar ievainojamībām.
- WordPress administratoriem arī jāizvairās no “admin” izmantošanas kā lietotājvārda saviem WordPress administrācijas kontiem.
Turklāt EtherHiding/ClearFake uzbrukumu ir grūti bloķēt. Interneta lietotājiem vienkārši jāuzmanās no neparedzētiem paziņojumiem “Jūsu pārlūkprogramma ir jāatjaunina”, it īpaši, apmeklējot vietni, kurā tiek izmantots WordPress. Lietotājiem ir jāatjaunina pārlūkprogramma tikai pārlūkprogrammas iestatījumu apgabalā — nevis noklikšķinot uz pogas vietnē neatkarīgi no tā, cik reāla tā šķiet.
Vai jums ir padoms? Nosūtiet mums e-pastu vai ProtonMail. Lai iegūtu vairāk informētu jaunumu, sekojiet mums X, Instagram, Bluesky, un Google ziņas, vai abonējiet mūsu YouTube kanāls.
Avots: https://protos.com/etherhiding-hack-uses-binance-blockchain-to-extort-wordpress-users/