Um grupo criminoso motivado financeiramente, identificado pelo codinome UNC5142, vem utilizando contratos inteligentes na blockchain para distribuir malwares do tipo information stealers, como Atomic (AMOS), Lumma, Rhadamanthys (também conhecido como RADTHIEF) e Vidar.
Esses ataques têm como alvo sistemas Windows e Apple macOS.
De acordo com o Google Threat Intelligence Group (GTIG), em relatório compartilhado com o The Hacker News, o UNC5142 se destaca pelo uso de sites WordPress comprometidos e da técnica chamada "EtherHiding".
Essa técnica consiste em ocultar códigos maliciosos ou dados em uma blockchain pública, como a BNB Smart Chain, dificultando a detecção.
Até junho de 2025, o Google identificou cerca de 14 mil páginas web contendo JavaScript injetado associado às ações do UNC5142, evidenciando um ataque indiscriminado a sites WordPress vulneráveis.
Contudo, não foram observadas atividades relacionadas ao grupo desde 23 de julho de 2025, o que pode indicar uma pausa ou mudança na estratégia operacional.
A técnica EtherHiding foi documentada pela primeira vez pela Guardio Labs em outubro de 2023, quando detalhou ataques em que o código malicioso era servido por contratos inteligentes da Binance Smart Chain, por meio de sites infectados que exibiam avisos falsos de atualização de navegador.
Um componente central dessa cadeia de ataque é um downloader multiestágio em JavaScript chamado CLEARSHORT, que distribui o malware via sites invadidos.
Na primeira fase, o JavaScript malicioso é inserido em arquivos relacionados a plugins, temas ou diretamente no banco de dados do WordPress.
Esse código busca a segunda fase interagindo com um contrato inteligente malicioso armazenado na BNB Smart Chain.
Esse contrato inteligente, por sua vez, obtém uma página de destino do CLEARSHORT hospedada em um servidor externo.
A página utiliza a tática de engenharia social denominada ClickFix para enganar a vítima a executar comandos maliciosos no diálogo Executar do Windows ou no Terminal do macOS, instalando assim o malware para roubo de informações.
Desde dezembro de 2024, as landing pages são carregadas em formato criptografado e geralmente hospedadas em domínios .dev gerenciados pelo Cloudflare.
Nos sistemas Windows, o comando malicioso executa um arquivo HTA (HTML Application) baixado de uma URL do MediaFire.
Esse arquivo, por sua vez, executa um script PowerShell que contorna defesas, busca o payload final criptografado em servidores externos, como GitHub ou MediaFire, e roda o malware diretamente na memória, sem gerar arquivos no disco.
Nas investidas contra macOS, ocorridas em fevereiro e abril de 2025, os atacantes empregaram iscas ClickFix para levar o usuário a executar um comando bash no Terminal, que recuperava um shell script.
Esse script, então, usava o comando curl para obter o payload do Atomic Stealer a partir de um servidor remoto.
O CLEARSHORT é considerado uma variante do ClearFake, um framework JavaScript malicioso analisado detalhadamente pela empresa francesa de cibersegurança Sekoia em março de 2025.
O ClearFake é conhecido por aplicar a técnica de drive-by download em sites comprometidos e está ativo desde julho de 2023, com o uso do ClickFix a partir de maio de 2024.
O uso da blockchain traz diversas vantagens para os atacantes.
A técnica não apenas se oculta entre atividades legítimas da Web3, como também aumenta a resistência do UNC5142 contra tentativas de detecção e remoção.
O Google destacou que as operações do grupo evoluíram consideravelmente no último ano, passando de um sistema com um único contrato inteligente para uma estrutura mais complexa, com três contratos, implementada em novembro de 2024 para melhorar a agilidade operacional.
Em janeiro de 2025, novas melhorias foram registradas.
Essa arquitetura segue o padrão legítimo conhecido como proxy pattern, amplamente usado por desenvolvedores para criar contratos inteligentes atualizáveis.
Basicamente, os contratos funcionam em uma arquitetura Router-Logic-Storage, na qual cada um tem uma função específica.
Isso permite atualizar rapidamente elementos críticos do ataque, como a URL da landing page ou a chave de descriptografia, sem a necessidade de alterar o JavaScript nas páginas comprometidas.
O resultado é uma campanha mais ágil e resistente a remoções.
O grupo aproveita a natureza mutável dos dados armazenados nos contratos inteligentes — lembrando que o código do contrato é imutável após o deploy — para modificar URLs dos payloads, gastando entre US$ 0,25 e US$ 1,50 em taxas de rede para cada atualização.
Análises adicionais identificaram que o UNC5142 opera duas infraestruturas distintas de contratos inteligentes para distribuir os malwares via downloader CLEARSHORT.
A infraestrutura principal foi criada em 24 de novembro de 2024, enquanto uma segunda infraestrutura paralela foi financiada em 18 de fevereiro de 2025.
Segundo o GTIG, a infraestrutura principal é o núcleo da campanha, com criação antecipada e atualizações constantes.
Já a infraestrutura secundária parece ser um complemento tático, possivelmente usada para aumentar o volume de ataques, testar novas iscas ou aprimorar a resiliência operacional.
Considerando o ritmo intenso de atualizações, o elevado número de sites comprometidos e a variedade dos malwares distribuídos ao longo do último ano e meio, é provável que o grupo UNC5142 tenha obtido sucesso significativo em suas operações.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...