Natuklasan ng mga mananaliksik sa Guardio Labs ang isang bagong pag-atake na kilala bilang 'EtherHiding,' na gumagamit ng Binance Smart Chain at Bullet-Proof Hosting upang maghatid ng malisyosong code sa mga web browser ng mga biktima.
Hindi tulad ng isang naunang hanay ng mga pekeng pag-update na hack na nagsamantala sa WordPress, ang variant na ito ay gumagamit ng bagong tool: Ang blockchain ni Binance. Nauna rito, naantala ng mga variant na hindi blockchain ang isang pagbisita sa webpage gamit ang isang mukhang makatotohanan, naka-istilong browser na 'Update' na prompt. Naka-install na malware ang pag-click ng mouse ng biktima.
Dahil sa mura, mabilis, at hindi maayos na programmability ng Binance Smart Chain, ang mga hacker ay maaaring maghatid ng mapangwasak na payload ng code nang direkta mula sa blockchain na ito.
Upang maging malinaw, hindi ito isang pag-atake ng MetaMask. Ang mga hacker ay naghahatid lamang ng malisyosong code sa loob ng mga web browser ng mga biktima na mukhang anumang webpage na gustong gawin ng hacker — na naka-host at nagsilbi sa isang hindi mapigilang paraan. Gamit ang blockchain ng Binance para maghatid ng code, inaatake ng mga hacker ang mga biktima para sa iba't ibang mga scam sa pangingikil. talaga, Tina-target pa nga ng EtherHiding ang mga biktima na walang crypto holdings.
Magbasa nang higit pa: Ang Reuters ay nagpapahiwatig ng 'madilim na lihim' na nakapalibot sa Binance at mga reserba nito
Pag-hijack ng browser upang nakawin ang iyong impormasyon
Sa nakalipas na ilang buwan, dumami ang mga pekeng update sa browser. Ang mga hindi pinaghihinalaang gumagamit ng internet ay nakatagpo ng isang mapagkakatiwalaan, lihim na nakompromiso na website. Nakikita nila ang isang mapanlinlang na pag-update ng browser at walang pag-iisip na nag-click sa 'I-update.' Kaagad, nag-install ang mga hacker ng malware tulad ng RedLine, Amadey, o Lumma. Ang ganitong uri ng malware, na kilala bilang isang 'infostealer,' ay kadalasang nagtatago sa pamamagitan ng mga pag-atake ng Trojan na may mababaw na hitsura ng lehitimong software.
Ang bersyon ng EtherHiding ng mga pag-atake sa pag-update na ito na nakabatay sa WordPress gumagamit ng mas makapangyarihang infostealer, ClearFake. Gamit ang ClearFake, ini-inject ng EtherHiding ang JS code sa mga computer ng hindi pinaghihinalaang mga user.
Sa mas naunang bersyon ng ClearFake, umaasa ang ilang code sa mga server ng CloudFlare. Nakita at inalis ng CloudFlare ang malisyosong code na iyon, na sumisira sa ilan sa mga functionality ng ClearFake attack.
Sa kasamaang palad, natutunan ng mga umaatake kung paano iwasan ang mga host na may pag-iisip sa cybersecurity tulad ng CloudFlare. Nakakita sila ng perpektong host sa Binance.
Kapansin-pansin ang pag-atake ng EtherHiding nire-redirect ang trapiko nito sa mga server ng Binance. Gumagamit ito ng obfuscated Base64 code na nagtatanong sa Binance Smart Chain (BSC) at nagpapasimula ng kontrata ng BSC na may address na kinokontrol ng mga umaatake. Kapansin-pansing tinatawag nito ang ilang software development kit (SDKs) tulad ng eth_call ng Binance, na gayahin ang pagpapatupad ng kontrata at maaaring gamitin para tumawag ng malisyosong code.
Habang nakiusap ang mga mananaliksik ng Guardio Labs sa kanilang Medium na mga post, maaaring pagaanin ng Binance ang pag-atake na ito sa pamamagitan ng pag-disable ng mga query sa mga address na na-flag nito bilang nakakahamak, o hindi pagpapagana sa eth_call SDK.
Sa bahagi nito, na-flag ng Binance ang ilang ClearFake smart contract bilang nakakahamak sa BSCScan, ang nangingibabaw na Binance Smart Chain explorer. Dito, binabalaan nito ang mga explorer ng blockchain na ang mga address ng umaatake ay bahagi ng pag-atake ng phishing.
Gayunpaman, nagbibigay ito ng kaunting kapaki-pakinabang na impormasyon tungkol sa anyo ng pag-atake. Sa partikular, Ang BSCScan ay hindi nagpapakita ng mga babala sa mga aktwal na biktima kung saan nangyari ang mga hack: sa loob ng kanilang mga web browser.
Mga tip sa web browser upang maiwasan ang EtherHiding
Ang WordPress ay naging kilalang-kilala sa pagiging target ng mga umaatake, na may isang-kapat ng lahat ng mga website na gumagamit ng platform.
- Sa kasamaang palad, humigit-kumulang isang-ikalima ng mga website ng WordPress ang hindi na-upgrade sa pinakabagong bersyon, na naglalantad sa mga nagsu-surf sa Internet sa malware tulad ng EtherHiding.
- Ang mga administrator ng site ay dapat magpatupad ng matatag na mga hakbang sa seguridad tulad ng pagpapanatiling ligtas sa mga kredensyal sa pag-log in, pag-alis ng mga nakompromisong plugin, pag-secure ng mga password, at paglilimita sa pag-access ng admin.
- Dapat i-upgrade ng mga administrator ng WordPress ang WordPress at ang mga plugin nito araw-araw, at iwasan ang paggamit ng mga plugin na may mga kahinaan.
- Dapat ding iwasan ng mga administrator ng WordPress ang paggamit ng 'admin' bilang isang username para sa kanilang mga WordPress administration account.
Higit pa riyan, ang pag-atake ng EtherHiding/ClearFake ay mahirap harangan. Ang mga gumagamit ng Internet ay dapat na maging maingat sa anumang hindi inaasahang abiso na 'Ang iyong browser ay nangangailangan ng pag-update', lalo na kapag bumibisita sa isang website na gumagamit ng WordPress. Dapat lamang i-update ng mga user ang kanilang browser mula sa lugar ng mga setting ng browser — hindi sa pamamagitan ng pag-click sa isang button sa loob ng isang website, gaano man ito katotoo.
May tip? Padalhan kami ng email o ProtonMail. Para sa higit pang kaalamang balita, sundan kami sa X, Instagram, Asul na langit, at Google News, o mag-subscribe sa aming YouTube channel.
Pinagmulan: https://protos.com/etherhiding-hack-uses-binance-blockchain-to-extort-wordpress-users/