Смарт-контракты Binance: новое средство для заражения и кражи данных

Специалисты ИБ-компании Guardio Labs рассказали о новой кампании, начавшейся в августе, в ходе которой злоумышленники начали использовать смарт-контракты Binance Smart Chain (BSC) для размещения вредоносного кода.

Интересный поворот представляет собой последнюю версию кампании, которая использует скомпрометированные сайты WordPress для того, чтобы предложить ничего не подозревающим посетителям обновить свои браузеры перед доступом к сайтам. Скачанное поддельное обновление в конечном итоге приводит к развертыванию вредоносного ПО для кражи информации, такого как Amadey, Lumma или RedLine .

Начальный метод размещения кода на хостах Cloudflare Workers был устранён, но злоумышленники быстро переключились на использование децентрализованной, анонимной и публичной природы блокчейна. Как отметили исследователи безопасности, кампания стала более сложной для обнаружения и ликвидации.

Неудивительно, что хакеры атаковали сайты WordPress через вредоносные плагины, а также использовали общедоступные уязвимости популярных плагинов для взлома сайтов, что дает возможность полностью захватывать зараженные сайты.

Цепочка атак

В последней серии атак киберпреступники внедрили обфусцированные Javascript-коды, предназначенные для создания смарт-контракта с адресом блокчейна, контролируемым атакующими.

Цель состоит в том, чтобы получить скрипт второго этапа, который извлекает полезную нагрузку третьего этапа с сервера управления и контроля (Command and Control, C2 ). Затем извлечённый код отображает пользователю поддельные уведомления об обновлении браузера. Если жертва нажмет кнопку обновления на поддельном оверлее, она будет перенаправлена на загрузку вредоносного исполняемого файла с легитимных файловых сервисов, включая Dropbox.

Размещение биткоин-адреса и связанного с ним контракта на децентрализованном сервисе даёт мошенникам преимущество, так как в настоящее время нет способа вмешаться и прервать цепочку атак. Рекомендуется, чтобы пользователи, полагающиеся на CMS -систему WordPress, придерживались лучших практик кибербезопасности, регулярно обновляли свои системы, удаляли нежелательных администраторов и устанавливали надежные пароли.