Северокорейские хакеры разработали метод распространения вредоносного ПО, предназначенного для кражи криптовалюты и конфиденциальной информации, путем внедрения злонамеренного кода в смарт-контракты публичных блокчейн-сетей, сообщает Threat Intelligence Group Google.
Эта техника, получившая название “EtherHiding”, появилась в 2023 году и обычно используется в сочетании с техниками социальной инженерии, такими как рассылка жертвам фальшивых предложений о работе и приглашений на престижные собеседования, перенаправляющие пользователей на вредоносные веб-сайты или ссылки, сообщает Google.
Хакеры захватывают контроль над легитимным веб-адресом через Скрипт-загрузчик и внедряют JavaScript-код на веб-сайт, активируя отдельный пакет злонамеренного кода в смарт-контракте, предназначенный для кражи средств и данных, когда пользователь взаимодействует с взломанным сайтом.
Взломанный веб-сайт будет взаимодействовать с блокчейн-сетью, используя “только для чтения” функцию, которая фактически не создает транзакцию в реестре, позволяя злоумышленникам избежать обнаружения и минимизировать комиссии за транзакции, сообщили исследователи Google.
В отчете подчеркивается необходимость бдительности в криптосообществе для защиты пользователей от мошенничества и взломов, обычно используемых злоумышленниками для кражи средств и ценной информации у частных лиц и организаций.
Распознаем признаки: расшифровка социальной инженерии со стороны Северной Кореи
Злоумышленники создают фиктивные компании, кадровые агентства и профили, чтобы нацелиться на разработчиков программного обеспечения и криптовалют фальшивыми предложениями о работе, сообщает Google.
После первоначального предложения нападающие переходят на коммуникацию через платформы обмена сообщениями, такие как Discord или Telegram, и направляют жертву на прохождение трудового теста или выполнение задания по кодированию.
“Основная часть атаки происходит на этапе технической оценки”, – сообщает Threat Intelligence Google. На этом этапе жертву обычно просят загрузить вредоносные файлы из онлайн-репозиториев кода, таких как GitHub, где хранится вредоносный полезный код.
В других случаях злоумышленники заманивают жертву на видеозвонок, где отображается поддельное сообщение об ошибке, предлагающее загрузить исправление для ее устранения. Это программное исправление также содержит вредоносный код.
После установки вредоносного программного обеспечения на компьютер развертывается многоступенчатое вредоносное ПО на основе JavaScript под названием “JADESNOW” для кражи конфиденциальных данных.
Для особо ценных целей иногда развертывается третья стадия, обеспечивающая злоумышленникам долгосрочный доступ к взломанному компьютеру и другим системам, подключенным к его сети, предупреждает Google.
