محققان امنیتی گوگل برای اولین بار از روش هک جدیدی پرده برداشتهاند که از بلاکچین برای میزبانی و توزیع بدافزارها استفاده میکند. در این روش با استفاده از تکنیک EtherHiding، کدهای مخرب در قراردادهای هوشمند زنجیره هوشمند بایننس (BNB) و اتریوم جاسازی میشوند و از این طریق بدافزار یک در پشتی را برای جاسوسی و سرقت اطلاعات روی سیستم قربانیان نصب میکند.
بر اساس تحقیقات جدید گروه اطلاعات تهدیدات گوگل (GTIG)، هکرها اکنون از بلاکچینهای عمومی برای انتقال نرمافزارهای مخرب خود استفاده میکند. این کمپین که از تکنیکی به نام «EtherHiding» بهره میبرد، اولین مورد مستند از بهکارگیری بدافزار مبتنی بر قرارداد هوشمند برای فرار از شناسایی و مختل کردن تلاشها برای مقابله است.
گوگل این فعالیت را به گروه UNC5342 نسبت میدهد که توسعهدهندگان و فعالان حوزه ارزهای دیجیتال را هدف قرار میدهد. این گروه که اولین بار در زمستان ۱۴۰۴ مشاهده شد، از EtherHiding و یک دانلودر جاوا اسکریپت به نام JADESNOW برای دریافت و اجرای یک بکدور قدرتمند با نام INVISIBLEFERRET استفاده میکند که مستقیماً از دادههای ذخیرهشده در قراردادهای هوشمند اتریوم و زنجیره هوشمند BNB فراخوانی میشود.
سازوکار حمله؛ از بلاکچین تا سیستم قربانی
مکانیزم تحویل محموله مخرب این گروه دستورات Read-only شبکه بلاکچین استوار است. این درخواستها تراکنش جدیدی ایجاد نمیکنند و ردپای قابل مشاهدهای در ابزارهای تحلیل بلاکچین به جا نمیگذارند. از آنجایی که خود قراردادهای هوشمند تغییرناپذیر یا Immutable هستند، مدافعان نمیتوانند اسکریپتهای جاسازیشده را حذف کنند. این تکنیک به مهاجمان اجازه میدهد تا با بازنویسی متغیرهای ذخیرهسازی قرارداد، محموله بدافزار را بهروزرسانی یا تعویض کنند.
این اولین بار است که یک گروه هکری چنین روشی را در جعبهابزار عملیاتی خود به کار میگیرد. گزارش گوگل این زیرساخت بلاکچینی را به آلودگیهای واقعی مرتبط میداند که از طریق وبسایتهای وردپرسی هکشده و فریبهای مهندسی اجتماعی، مانند مصاحبههای شغلی جعلی برای توسعهدهندگان کریپتو، توزیع شدهاند. قربانیان پس از ورود به این سایتها، لودر JADESNOW را دریافت میکنند که با قرارداد هوشمند ارتباط برقرار کرده و بدافزار INVISIBLEFERRET را اجرا میکند.
در همین رابطه بخوانید:
– هشدار: هکرها اطلاعات گوشی اندرویدیتان را پیکسل به پیکسل سرقت میکنند!
– موس گیمینگ شما میتواند به عنوان یک میکروفون جاسوسی برای هکرها عمل کند!
روشهای مقابله و کاهش خطر
بدافزار INVISIBLEFERRET یک بکدور کامل با قابلیت کنترل از راه دور است که امکان جاسوسی بلندمدت و سرقت دادهها را فراهم میآورد. اگرچه گوگل مشخص نکرده که دادهها چگونه توسط قرارداد هوشمند دزدیده شدهاند، اما تحقیقات قبلی نشان میدهد مهاجمان اغلب از فراخوانیهای استاندارد JSON-RPC استفاده میکنند. مسدود کردن این سرویسها یا محدود کردن دسترسی به نودهای بلاکچینی میتواند یک راهکار موقت برای مهار حمله باشد.
همچنین سازمانها میتوانند با اعمال سیاستهای سختگیرانه برای اجرای اسکریپتها و افزونهها و همچنین ایمنسازی فرآیندهای بهروزرسانی، از اجرای کدهای مخرب جلوگیری کنند.
