EtherHiding olarak bilinen yeni bir tehdit, kötü amaçlı yazılımların internet üzerinden yayılma şeklini yeniden şekillendiriyor. Zararlı kod dağıtmak için geleneksel sunuculara dayanan eski yöntemlerin aksine, bu saldırı, kötü amaçlı yazılım yüklerini depolamak ve güncellemek için blockchain akıllı sözleşmelerini kullanıyor.
Bu yaklaşım, güvenlik ekiplerinin saldırganları takip etmesini ve durdurmasını zorlaştırıyor çünkü saldırının başladığı web siteleri değiştirilmeden veriler değiştirilebiliyor.
Saldırı, bir bilgisayar korsanının meşru bir web sitesine kötü amaçlı kod yerleştirmesiyle başlar. Enjekte edilen bu kod, gerçek bir güvenlik kontrolüne benzeyen sahte bir CAPTCHA sayfası görüntüler ve ziyaretçilerden insan olduklarını kanıtlamalarını ister.
Ancak kurbanlar, basit bir onay kutusunu tıklamak yerine kodu kopyalayıp terminallerine veya komut istemine yapıştırmaları için kandırılıyor.
Bu talimatları izledikleri zaman, kötü amaçlı yazılımlar bilgisayarlarına sessizce yüklenir. Bu teknik, kullanıcının güveninden faydalanır ve kodu çalıştırma işini kurbana kaydırır; bu da, kötü amaçlı yazılımın, otomatik olarak kötü amaçlı yazılım yürütülmesini izleyen güvenlik araçları tarafından algılanmasını engellemesine yardımcı olur.
Censys güvenlik analistleri, birden fazla alanda sahte CAPTCHA tuzakları barındıran web sitelerini izlerken bu saldırı modelini tespit etti.
.webp)
Araştırmaları sırasında araştırmacılar, blockchain depolamayı, platforma özel kötü amaçlı yazılım seçimini ve sosyal mühendisliği eksiksiz bir saldırı iş akışında birleştiren bir EtherHiding zinciri keşfettiler.
Bulgular, bu yeni yaklaşımın, sabit sunucu adreslerini kullanan eski yöntemlere kıyasla nasıl daha esnek ve takibi daha zor bir dağıtım sistemi oluşturduğunu ortaya çıkardı.
EtherHiding kampanyaları aracılığıyla iletilen kötü amaçlı yazılım yükleri genellikle, virüs bulaşmış makinelerden kimlik bilgilerini ve hassas bilgileri toplamak için tasarlanmış Amos Stealer ve Vidar gibi emtia hırsızlarını içerir.
Saldırganlar, merkezi olmayan hazırlama altyapısını, sahte güvenlik katmanlarını ve manuel kullanıcı yürütmeyi birleştirerek, savunucuların tehditleri tanımlamak için geleneksel olarak güvendiği birçok öngörülebilir modeli ortadan kaldırır.
Blockchain Destekli Yük Taşıma Mekaniği
EtherHiding’in kötü amaçlı yazılımları sunma şekli, merkezi olmayan teknolojinin saldırı altyapısını nasıl değiştirdiğini gösteriyor. Bir kurban güvenliği ihlal edilmiş bir web sitesini ziyaret ettiğinde, tarayıcısı otomatik olarak HTML’de gizlenmiş Base64 kodlu bir JavaScript pasajını yükler.
Bu kod parçasının kodu, load_() adlı bir işlevi kullanarak Binance Akıllı Zincir test ağı üzerindeki akıllı sözleşmelerle iletişim kuran gizlenmiş koda dönüştürülür.
Sözleşmeler, tarayıcının çalıştırılabilir JavaScript’e çözdüğü onaltılık kodlanmış verileri döndürür; bu daha sonra kurbanın işletim sistemini belirler ve uygun kötü amaçlı yazılım sürümünü getirir.
Saldırı, Windows’a veya macOS’a özgü yükleri getirmek için iki farklı sözleşme kullanıyor. Windows sistemlerinde kod 0x46790e2Ac7F3CA5a7D1bfCe312d11E91d23383Ff sözleşmesine bağlanırken macOS kurbanları 0x68DcE15C1002a2689E19D33A3aE509DD1fEb11A5’e yönlendirilir.
.webp)
Saldırı, son veriyi göndermeden önce 0xf4a32588b50a59a82fbA148d436081A48d80832A adresindeki bir kontrol sözleşmesinden geçer ve bu sözleşme, kalıcı bir çerezde saklanan benzersiz bir tanımlayıcıyı kullanarak her kurbanı doğrular.
Bu geçiş mekanizması, saldırganların, ele geçirilen web sitesine dokunmadan yalnızca blockchain verilerini değiştirerek belirli kurbanlar için kötü amaçlı yazılım dağıtımını seçici olarak etkinleştirmesine veya devre dışı bırakmasına olanak tanır.
Kurban, geçiş sözleşmesiyle onaylandıktan sonra, işletim sistemine göre uyarlanmış talimatlar içeren, platforma özel sahte bir CAPTCHA görür.
JavaScript, kötü amaçlı komutları otomatik olarak panoya kopyalar ve kurbanlara komutları macOS’ta Terminal’e veya Windows’ta Çalıştır iletişim kutusuna yapıştırmaları talimatı verilir.
Bu manuel yürütme adımı, herhangi bir otomatik kötü amaçlı yazılım davranışı meydana gelmediğinden önemli bir tespit açığı yaratır; kurbanın kendisi yükleme sürecini tetikler.
MacOS’ta veri, tam özellikli bir aracıyı indirmek ve yürütmek için AppleScript ve curl komutlarını kullanır. Bu aracı, LaunchAgent plist dosyalarını kullanarak kalıcılık oluşturur ve belirli HTML öğelerini kazıyarak komut ve kontrol sunucusu adresini Telegram veya Steam profillerinden alır.
Kötü amaçlı yazılım daha sonra sahte bir Sistem Tercihleri iletişim kutusu görüntüleyerek kullanıcının düz metin şifresini toplar, çalınan kimlik bilgilerini saldırganın sunucusuyla senkronize eder ve her otuz saniyede bir rastgele kabuk komutlarını alıp yürütmek için bir yoklama döngüsüne girer.
Blockchain akıllı sözleşmeleri, sahte CAPTCHA sosyal mühendisliği ve yerel kod yürütmenin birleşimi, saldırgan taktiklerinde önemli bir değişimi temsil ediyor.
EtherHiding, yük depolamayı merkezi olmayan altyapıya taşıyarak ve otomatik yürütme ihtiyacını ortadan kaldırarak esnek, tahmin edilmesi zor ve birçok geleneksel güvenlik algılama yöntemine dayanıklı bir saldırı modeli oluşturur.
Kuruluşlar, sahte CAPTCHA katmanları görüntüleyen web sitelerini izlemeli ve terminal komutlarıyla bağlantılı pano etkinliklerine karşı dikkatli olmalıdır; çünkü bu uyarı işaretleri, ortaya çıkan bu tehdidin kurulum gerçekleşmeden önce yakalanmasına yardımcı olabilir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
