Los hackers utilizan los contratos de Binance Smart Chain para almacenar scripts

Los ciberdelincuentes están empleando una novedosa técnica de distribución de código denominada 'EtherHiding', que abusa de los contratos Smart Chain (BSC) de Binance para ocultar scripts maliciosos en la cadena de bloques.

Los actores de amenazas responsables de esta campaña utilizaron anteriormente sitios de WordPress comprometidos que redirigían a hosts de Cloudflare Worker para inyectar JavaScript malicioso en sitios web pirateados, pero luego pasaron a abusar de los sistemas blockchain que proporcionan un canal de distribución mucho más resistente y evasivo.

"En los últimos dos meses, aprovechando una amplia gama de sitios de WordPress secuestrados, este actor de amenazas ha engañado a los usuarios para que descarguen actualizaciones maliciosas falsas del navegador", mencionan los investigadores de Guardio Labs, Nati Tal y Oleg Zaytsev, quienes descubrieron la campaña.

"Si bien su método inicial de alojar código en hosts de Cloudflare Worker abusados fue eliminado, han cambiado rápidamente para aprovechar la naturaleza descentralizada, anónima y pública de blockchain. Esta campaña está en marcha y es más difícil que nunca detectarla y eliminarla".

Malware EtherHiding

EtherHiding es una nueva técnica de los actores de amenazas denominada 'ClearFake' para distribuir código que se inyecta en sitios web pirateados para mostrar superposiciones falsas de actualizaciones del navegador.

Guardio Labs explica que los piratas informáticos se dirigen a sitios vulnerables de WordPress o credenciales de administrador comprometidas para inyectar dos etiquetas de script en páginas web.

Estas inyecciones de scripts cargan la biblioteca JS de Binance Smart Chain (BSC) y obtienen scripts maliciosos de la cadena de bloques que luego se inyectan en el sitio.


Este código obtenido de BSC también se inyecta en la página web para desencadenar la descarga de la carga útil de la tercera etapa, esta vez desde los servidores del actor de amenazas (C2).

La dirección C2 se refiere directamente desde la cadena de bloques, por lo que los atacantes pueden cambiarla fácilmente con frecuencia para evadir bloqueos.

Estas cargas útiles de tercera etapa se ejecutan en el navegador del usuario para mostrar una superposición falsa en el sitio que solicita a los usuarios que actualicen su navegador Google Chrome, Microsoft Edge o Mozilla Firefox.


Una vez que la víctima hace clic en el botón de actualización, se le dirige a descargar un ejecutable malicioso de Dropbox u otros sitios de alojamiento legítimos.


Ventaja de la cadena de bloques

La cadena de bloques está diseñada para ejecutar aplicaciones descentralizadas y contratos inteligentes, y cualquier código alojado en ella no se puede eliminar, por lo que alojarlo allí en lugar de usar infraestructura alquilada hace que estos ataques sean imbloqueables.

Cuando uno de sus dominios se marca, los atacantes actualizan la cadena para intercambiar el código malicioso y los dominios relacionados, continuando el ataque con una interrupción mínima.

Además, no hay cargos por realizar estos cambios, por lo que los ciberdelincuentes pueden esencialmente abusar del sistema tanto como necesiten sin sufrir una carga financiera que haga que sus operaciones no sean rentables.


Una vez que se implementa un contrato inteligente en el BSC, funciona de forma autónoma y no se puede cerrar. Incluso reportar la dirección como maliciosa no evitará que distribuya el código malicioso cuando se invoque.

Guardio Labs dice que informar de la dirección activa una advertencia en la página del explorador BSC de Binance para alertar a los usuarios de que no interactúen con la dirección. Sin embargo, los visitantes de sitios de WordPress comprometidos nunca verán esa advertencia ni se darán cuenta de lo que sucede bajo el capó.


La única forma de mitigar el problema es centrarse en la seguridad de WordPress, utilizando contraseñas de administrador seguras y únicas, manteniendo los plugins actualizados y eliminando los complementos y cuentas no utilizados.

Si bien actualmente es una evolución de las campañas de ClearFake, EtherHiding presenta las tácticas en constante evolución de los actores de amenazas para hacer que sus ataques sean más resistentes a la eliminación.

Si este método tiene éxito, el abuso de Blockchain podría convertirse en parte integral de varias cadenas de ataque de entrega de carga útil en los próximos meses.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta