Se ha observado que los actores de amenazas sirven código malicioso utilizando los contratos Smart Chain (BSC) de Binance en lo que se ha descrito como el «siguiente nivel de alojamiento a prueba de balas».
La campaña, detectada hace dos meses, lleva el nombre en clave ÉterOcultar por Laboratorios Guardio.
El giro novedoso marca la última iteración en una campaña en curso que aprovecha los sitios de WordPress comprometidos para enviar a los visitantes desprevenidos una advertencia falsa para que actualicen sus navegadores antes de que se pueda acceder a los sitios, lo que en última instancia conduce a la implementación de malware ladrón de información como Amadey, Lumma o RedLine.
«Si bien su método inicial de alojar código en hosts Cloudflare Worker abusados fue eliminado, rápidamente cambiaron para aprovechar la naturaleza descentralizada, anónima y pública de blockchain», dijeron los investigadores de seguridad Nati Tal y Oleg Zaytsev. dicho.
«Esta campaña está activa y es más difícil que nunca detectarla y derribarla».
No sorprende que los actores de amenazas se hayan dirigido a sitios de WordPress a través de complementos maliciosos, además de aprovechar las fallas de seguridad divulgadas públicamente en complementos populares para violar sitios web. Esto brinda la posibilidad de secuestrar completamente sitios web infectados a voluntad.
En el último conjunto de ataques, a los sitios infectados se les inyecta Javascript ofuscado diseñado para consultar el Cadena inteligente BNB creando un contrato inteligente con un atacante controlado dirección de cadena de bloques.
El objetivo es obtener un script de segunda etapa que, a su vez, recupera una carga útil de tercera etapa de un servidor de comando y control (C2) para enviar avisos engañosos de actualización del navegador.
Si una víctima hace clic en el botón de actualización en la superposición falsa, se la redirige para descargar un ejecutable malicioso de Dropbox u otros servicios de alojamiento de archivos legítimos.
Si bien la dirección y el contrato asociado han sido etiquetados como utilizados en un esquema de phishing, la consecuencia de alojarlo en un servicio descentralizado significa que actualmente no hay forma de intervenir e interrumpir la cadena de ataque.
«Como esta no es una dirección utilizada en ninguna actividad financiera o de otro tipo a la que se pueda atraer a las víctimas para que transfieran fondos o cualquier otro tipo de propiedad intelectual, los visitantes de sitios de WordPress comprometidos no tienen idea de lo que sucede bajo el capó». explicaron los investigadores.
«Este contrato, etiquetado como falso, malicioso o cualquier otra cosa, todavía está en línea y entrega la carga maliciosa».
Dado que los complementos se están convirtiendo en una superficie de ataque considerable para WordPress, se recomienda que los usuarios que dependen del sistema de administración de contenido (CMS) cumplan con las mejores prácticas de seguridad y mantengan sus sistemas actualizados con los últimos parches, eliminen a los usuarios administradores no deseados y apliquen medidas estrictas. contraseñas.