Des acteurs malveillants ont été observés en train de diffuser du code malveillant en utilisant les contrats Smart Chain (BSC) de Binance dans ce qui a été décrit comme le « prochain niveau d’hébergement à toute épreuve ».
La campagne, détectée il y a deux mois, porte le nom de code ÉtherMasquage par Guardio Labs.
La tournure du roman marque la dernière itération d’un campagne en cours qui exploite les sites WordPress compromis pour envoyer aux visiteurs sans méfiance un faux avertissement les invitant à mettre à jour leur navigateur avant que les sites ne soient accessibles, conduisant finalement au déploiement de logiciels malveillants voleurs d’informations tels que Amadey, Lumma ou RedLine.
« Bien que leur méthode initiale d’hébergement de code sur des hôtes Cloudflare Worker abusés ait été supprimée, ils ont rapidement évolué pour tirer parti de la nature décentralisée, anonyme et publique de la blockchain », ont déclaré les chercheurs en sécurité Nati Tal et Oleg Zaytsev. dit.
« Cette campagne est en cours et plus difficile que jamais à détecter et à éliminer. »
Il n’est pas surprenant que les acteurs malveillants aient ciblé les sites WordPress via des plugins malveillants et profitent des failles de sécurité révélées publiquement dans les plugins populaires pour pirater des sites Web. Cela donne la possibilité de détourner complètement les sites Web infectés à volonté.
Dans la dernière série d’attaques, les sites infectés se voient injecter du Javascript obscurci conçu pour interroger le Chaîne intelligente BNB en créant un contrat intelligent avec un attaquant contrôlé adresse blockchain.
L’objectif est de récupérer un script de deuxième étape qui, à son tour, récupère une charge utile de troisième étape à partir d’un serveur de commande et de contrôle (C2) pour diffuser les notifications trompeuses de mise à jour du navigateur.
Si une victime clique sur le bouton de mise à jour de la fausse superposition, elle est redirigée vers télécharger un exécutable malveillant depuis Dropbox ou d’autres services d’hébergement de fichiers légitimes.
Bien que l’adresse et le contrat associé aient été marqués comme étant utilisés dans un système de phishing, la conséquence de leur hébergement sur un service décentralisé signifie qu’il n’existe actuellement aucun moyen d’intervenir et de perturber la chaîne d’attaque.
« Comme il ne s’agit pas d’une adresse utilisée dans une activité financière ou autre vers laquelle les victimes pourraient être incitées à transférer des fonds ou tout autre type de propriété intellectuelle, les visiteurs des sites WordPress compromis n’ont aucune idée de ce qui se passe sous le capot. » ont expliqué les chercheurs.
« Ce contrat, étiqueté comme faux, malveillant ou autre, est toujours en ligne et fournit la charge utile malveillante. »
Les plugins devenant une surface d’attaque importante pour WordPress, il est recommandé aux utilisateurs qui s’appuient sur le système de gestion de contenu (CMS) d’adhérer aux meilleures pratiques de sécurité et de maintenir leurs systèmes à jour avec les derniers correctifs, de supprimer les utilisateurs administrateurs indésirables et d’appliquer des règles strictes. mots de passe.