Guardio Labsi teadlased avastasid uue ründe, mida tuntakse nime all EtherHiding, mis kasutab ohvrite veebibrauserites pahatahtliku koodi edastamiseks Binance Smart Chain ja Bullet-Proof Hosting.
Erinevalt varasemast võltsitud värskenduste häkkimise komplektist, mis kasutas WordPressi, kasutab see variant uut tööriista: Binance'i plokiahel. Varasemad plokiahelata variandid katkestasid veebilehe külastuse realistliku välimusega brauseri stiilis käsuga Värskenda. Ohvri hiireklõpsuga installitud pahavara.
Tänu Binance Smart Chaini odavale, kiirele ja halvasti kontrollitud programmeeritavusele saavad häkkerid otse sellelt plokiahelalt edastada laastava kasuliku koodi.
Et olla selge, see ei ole MetaMaski rünnak. Häkkerid lihtsalt edastavad ohvrite veebibrauserites pahatahtlikku koodi, mis näeb välja nagu mis tahes veebileht, mida häkker soovib luua – mida hostitakse ja serveeritakse peatamatult. Kasutades koodi edastamiseks Binance'i plokiahelat, ründavad häkkerid erinevate väljapressimispettuste ohvreid. Tõepoolest, EtherHiding on suunatud isegi ohvritele, kellel pole krüptovarasid.
Loe lähemalt: Reuters vihjab Binance'i ja selle varusid ümbritsevatele "tumedatele saladustele".
Brauseri kaaperdamine teie teabe varastamiseks
Viimaste kuude jooksul on võltsitud brauseri värskendused vohanud. Pahaaimamatud Interneti-kasutajad puutuvad kokku usutava, salaja ohustatud veebisaidiga. Nad näevad petturlikku brauseri värskendust ja klõpsavad hajameelselt nupul Värskenda. Häkkerid installivad kohe pahavara, nagu RedLine, Amadey või Lumma. Seda tüüpi ründevara, mida tuntakse kui infovarast, peidab end sageli troojalaste rünnakute kaudu, millel on pealiskaudne seadusliku tarkvara välimus.
Nende WordPressi-põhiste värskendusrünnakute EtherHiding versioon kasutab võimsamat infovarast ClearFake. ClearFake'i abil süstib EtherHiding pahaaimamatute kasutajate arvutitesse JS-koodi.
ClearFake'i varasemas versioonis põhines osa koodist CloudFlare'i serveritest. CloudFlare tuvastas ja kõrvaldas selle pahatahtliku koodi, mis rikkus osa ClearFake'i rünnaku funktsioonidest.
Kahjuks on ründajad õppinud, kuidas küberjulgeolekuga tegelevatest hostidest nagu CloudFlare kõrvale hiilida. Nad leidsid Binance'is ideaalse peremehe.
Eelkõige EtherHidingi rünnak suunab oma liikluse Binance'i serveritesse. See kasutab hägustatud Base64 koodi, mis esitab päringu Binance Smart Chainile (BSC) ja lähtestab BSC lepingu ründajate kontrollitud aadressiga. See kutsub esile mõningaid tarkvaraarenduskomplekte (SDK), nagu Binance'i eth_call, mis simuleerivad lepingu täitmist ja mida saab kasutada pahatahtliku koodi kutsumiseks.
Nagu Guardio Labsi teadlased oma Mediumi postitustes väitsid, võiks Binance seda rünnakut leevendada, keelates päringud aadressidele, mis on pahatahtlikuks märgitud, või keelates eth_call SDK.
Binance on omalt poolt märgistanud mõned ClearFake'i nutilepingud BSCScanis, mis on domineeriv Binance Smart Chain explorer, pahatahtlikuks. Siin hoiatab see plokiahela uurijaid, et ründaja aadressid on osa andmepüügirünnakust.
See annab aga vähe kasulikku teavet rünnaku vormi kohta. Täpsemalt BSCScan ei kuva tegelikele ohvritele hoiatusi, kus häkkimine toimub: nende veebibrauserites.
Veebibrauseri näpunäited eetri peitmise vältimiseks
WordPress on saanud kurikuulsaks ründajate sihtmärgiks, kuna platvormi kasutab veerand kõigist veebisaitidest.
- Kahjuks ei ole ligikaudu viiendik WordPressi veebisaitidest uuendatud uusimale versioonile, mis paljastab Internetis surfajad pahavara, nagu EtherHiding.
- Saidi administraatorid peaksid rakendama tugevaid turvameetmeid, nagu sisselogimismandaatide kaitsmine, ohustatud pistikprogrammide eemaldamine, paroolide kaitsmine ja administraatori juurdepääsu piiramine.
- WordPressi administraatorid peaksid WordPressi ja selle pistikprogramme iga päev uuendama ning vältima haavatavustega pistikprogrammide kasutamist.
- WordPressi administraatorid peaksid vältima ka administraatori kasutamist oma WordPressi halduskontode kasutajanimena.
Peale selle on EtherHiding/ClearFake rünnakut raske blokeerida. Interneti-kasutajad peaksid lihtsalt olema ettevaatlikud kõigi ootamatute teadete "Teie brauser vajab värskendamist" suhtes, eriti kui külastate veebisaiti, mis kasutab WordPressi. Kasutajad peaksid oma brauserit värskendama ainult brauseri seadete alal — mitte klõpsates veebisaidil nuppu, olenemata sellest, kui realistlik see tundub.
Kas teil on vihje? Saatke meile e-kiri või ProtonMail. Täpsemate uudiste saamiseks jälgige meid X, Instagramis, Sinine taevasja Google'i uudisedvõi tellige meie leht Youtube kanal.
Allikas: https://protos.com/etherhiding-hack-uses-binance-blockchain-to-extort-wordpress-users/