Atores de ameaças foram observados servindo código malicioso utilizando os contratos da Smart Chain (BSC) da Binance, em uma ação que foi descrita como o "próximo nível de hospedagem à prova de balas".
A campanha, detectada há dois meses, foi codinomeada EtherHiding pela Guardio Labs.
Esta nova reviravolta é a última iteração de uma campanha contínua que explora sites WordPress comprometidos para apresentar aos visitantes um falso alerta para atualizarem seus navegadores antes que os sites possam ser acessados, levando ao final à instalação de malwares de roubo de informações como Amadey, Lumma ou RedLine.
"Enquanto o método inicial de hospedagem de código em hosts Worker do Cloudflare abusados foi derrubado, eles rapidamente pivotaram para se beneficiar da natureza descentralizada, anônima e pública da blockchain", disseram os pesquisadores de segurança Nati Tal e Oleg Zaytsev.
"Esta campanha está ativa e mais difícil do que nunca de ser detectada e eliminada".
Não é surpresa que atores de ameaças tenham direcionado sites WordPress por meio de plugins maliciosos, assim como se aproveitem de falhas de segurança publicamente divulgadas em plugins populares para hackear websites.
Isso dá a capacidade de sequestrar completamente websites infectados a seu bel prazer.
Na última série de ataques, os sites infectados são injetados com Javascript ofuscado projetado para consultar a BNB Smart Chain através da criação de um contrato inteligente com um endereço de blockchain controlado pelo atacante.
O objetivo é buscar um script de segunda etapa que, por sua vez, recupera um payload de terceira etapa de um servidor de comando e controle (C2) para veicular os notificadores de atualização de navegador enganosos.
Se a vítima clicar no botão de atualização no overlay falso, ela será redirecionada para fazer download de um executável malicioso do Dropbox ou de outros serviços legítimos de hospedagem de arquivos.
Embora o endereço e o contrato associados tenham sido etiquetados como usados em um esquema de phishing, a consequência de hospedá-lo em um serviço descentralizado significa que atualmente não há maneira de intervir e interromper a cadeia de ataque.
"Como esse não é um endereço usado em qualquer atividade financeira ou outra que a vítimas possam ser levadas a transferir fundos ou qualquer outro tipo de Propriedade Intelectual - os visitantes de sites WordPress comprometidos não têm ideia do que está acontecendo nos bastidores", explicaram os pesquisadores.
"Este contrato, identificado como falso, malicioso ou qualquer coisa do tipo, ainda está online e entrega o payload malicioso."
Com os plugins se tornando uma superfície de ataque considerável para o WordPress, é recomendado que os usuários que dependem do sistema de gerenciamento de conteúdo (CMS) sigam as práticas recomendadas de segurança e mantenham seus sistemas atualizados com os patches mais recentes, removam usuários admin indesejados e implementem senhas fortes.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...