Bir tehdit aktörü, RedLine, Amadey ve Lumma gibi bilgi hırsızları da dahil olmak üzere çeşitli kötü amaçlı yazılımları yaymak için sahte tarayıcı güncellemeleri kullanan bir kampanyada, kötü amaçlı kodları gizlemek amacıyla özel blockchain teknolojisini kötüye kullanıyor.
Blockchain’in kötüye kullanılması genellikle kripto para birimini çalmayı amaçlayan saldırılarda görülürken (güvenlik teknolojisi en iyi bu işlemleri korumakla bilinir) EtherHiding, saldırganların onu diğer kötü amaçlı etkinlik türleri için nasıl kullanabileceğini gösteriyor.
Guardio’dan araştırmacılar, son iki aydır kullanıcıların ele geçirilen en az 30 WordPress sitesinden kötü amaçlı sahte tarayıcı güncellemeleri indirmeye yönlendirildiği ClearFake adlı bir kampanyayı izliyor.
Kampanya, kötü amaçlı bir kodun bölümlerini barındırmak için dünyanın en büyük kripto para birimi sitelerinden biri olan Binance’in Binance Smart Chain (BSC) sözleşmelerini kullanarak “kötü amaçlı kod sunma konusunda yeni bir değişiklik sunan” “EtherHiding” adlı bir teknik kullanıyor. Guardio’nun yakın tarihli bir gönderisine göre, “Kurşun Geçirmez Hosting’in bir sonraki seviyesinin ne olduğu” zinciri.
Guardio, gönderisinde “BSC, Binance’e ait ve sözleşmelere odaklanıyor: belirli koşullar karşılandığında eylemleri otomatik olarak yürüten kodlanmış anlaşmalar” dedi. “Bu sözleşmeler, uygulamalar ve süreçler oluşturmak için yenilikçi yollar sunuyor. Blockchain’in halka açık ve değiştirilemez doğası nedeniyle, kod, kaldırılma yeteneği olmadan ‘zincir üzerinde’ barındırılabilir.”
Saldırganlar, kötü amaçlı kodu engellenemeyecek bir şekilde barındırıp sunarak saldırılarında bundan yararlanıyor, bu da etkinliğin durdurulmasını zorlaştırıyor. Gönderiye göre “Bu kampanya etkin ve tespit edilmesi ve kaldırılması her zamankinden daha zor.”
Araştırmacılar, saldırganların, kötüye kullanılan Cloudflare Worker ana bilgisayarlarına kod yerleştirmeye yönelik ilk yöntemleri kaldırıldığında bu yönteme başvurduklarını belirtti. Gönderiye göre, “Blockchain’in merkezi olmayan, anonim ve halka açık doğasından yararlanmak için hızla harekete geçtiler.”
EtherHiding Siber Saldırısı Nasıl Çalışır?
Saldırı, tehdit aktörlerinin ele geçirilen WordPress sitelerini sayfalara enjekte edilen gizli bir JavaScript kodu yerleştirmek için kullanması ve bu kodun saldırgan tarafından kontrol edilen bir sunucudan ikinci aşama bir veri almasıyla başlıyor. Guardio’ya göre saldırganlar, buradan “siteye erişilmeden önce tarayıcı güncellemesi talep eden çok inandırıcı bir katmanla” web sitelerini tahrif ediyorlar.
Gönderiye göre, “Saldırgan, bu yöntemi kullanarak uzaktan ve anında enfeksiyon sürecini değiştirebilir ve istediği herhangi bir mesajı görüntüleyebilir.” “Taktikleri değiştirebilir, engellenen alanları güncelleyebilir ve WordPress sitelerine yeniden erişmeden tespit edilen yükleri devre dışı bırakabilir.”
Blockchain Kötüye Kullanımını Engelleme
Blockchain ve diğer Web 3.0 teknolojileri yenilik getirirken, aynı zamanda kötü niyetli faaliyetler için faydalarından yararlanmak üzere sürekli olarak uyum sağlayan tehdit aktörleri tarafından kötüye kullanıma da açıktır.
Guardio’ya göre, “Bu özel istismarın ötesinde, blockchain, kötü amaçlı yazılım yayma aşamalarından, çalınan kimlik bilgilerinin ve dosyaların veri sızdırılmasına kadar, tümü geleneksel kolluk kuvvetleri kapatma yöntemlerinden kaçan sayısız yolla kötüye kullanılabilir.”
ClearFake saldırısını engellemenin basit bir yolu, Binance’in halihazırda “kötü amaçlı” olarak etiketlenmiş adreslere yönelik tüm sorguları devre dışı bırakması veya eth_call Gönderiye göre doğrulanmamış sözleşmeler için hata ayıklama yöntemi. Araştırmacılar bu potansiyel düzeltme hakkında Binance ile iletişime geçip geçmediklerini açıklamadılar.
Guardio’ya göre, güvenlik açıklarına yatkın ve dolayısıyla sömürülmeye hazır WordPress sitelerinin güvenliğini sağlamak, bunun gibi tehditlerin kurbanlara geniş bir etki yaratmasına yönelik ağ geçidini de engelleyecektir.
Bu amaçla araştırmacılar, WordPress altyapısını ve eklentilerini güncel tutarak, kimlik bilgilerini koruyarak, sağlam, periyodik olarak değiştirilen şifreler kullanarak ve kötü amaçlı etkinlikleri tespit etmek için genellikle sitelerde olup bitenleri yakından takip ederek siteleri korumanızı öneriyor.