Pesquisadores do Guardio Labs descobriram um novo ataque conhecido como ‘EtherHiding’, que usa Binance Smart Chain e Bullet-Proof Hosting para veicular código malicioso nos navegadores das vítimas.
Ao contrário de um conjunto anterior de hacks de atualização falsos que exploravam o WordPress, esta variante usa uma nova ferramenta: Blockchain de Binance. Anteriormente, variantes não-blockchain interrompiam uma visita a uma página da Web com um prompt de “Atualização” de aparência realista e estilo navegador. O clique do mouse da vítima instalou malware.
Devido à programabilidade barata, rápida e mal policiada do Binance Smart Chain, os hackers podem servir uma carga devastadora de código diretamente deste blockchain.
Para ser claro, este não é um ataque MetaMask. Os hackers simplesmente veiculam código malicioso nos navegadores das vítimas, que se parece com qualquer página da Web que o hacker deseja criar – hospedado e servido de maneira imparável. Usando o blockchain da Binance para fornecer código, hackers atacam vítimas de vários golpes de extorsão. De fato, EtherHiding tem como alvo até mesmo vítimas sem ativos criptográficos.
Leia mais: Reuters sugere ‘segredos obscuros’ em torno da Binance e suas reservas
Sequestrando o navegador para roubar suas informações
Nos últimos meses, proliferaram atualizações falsas de navegadores. Usuários desavisados da Internet encontram um site confiável e secretamente comprometido. Eles veem uma atualização fraudulenta do navegador e clicam distraidamente em “Atualizar”. Imediatamente, os hackers instalam malware como RedLine, Amadey ou Lumma. Esse tipo de malware, conhecido como 'infostealer', geralmente se esconde por meio de ataques de Trojan que têm a aparência superficial de software legítimo.
A versão EtherHiding desses ataques de atualização baseados em WordPress usa um infostealer mais poderoso, ClearFake. Usando ClearFake, EtherHiding injeta código JS nos computadores de usuários desavisados.
Em uma versão anterior do ClearFake, alguns códigos dependiam de servidores CloudFlare. CloudFlare detectou e eliminou esse código malicioso, que destruiu algumas das funcionalidades do ataque ClearFake.
Infelizmente, os invasores aprenderam como escapar de hosts preocupados com a segurança cibernética, como o CloudFlare. Eles encontraram um anfitrião perfeito em Binance.
O ataque EtherHiding notavelmente redireciona seu tráfego para servidores Binance. Ele usa um código Base64 ofuscado que consulta a Binance Smart Chain (BSC) e inicializa um contrato BSC com um endereço controlado pelos invasores. Ele chama notavelmente alguns kits de desenvolvimento de software (SDKs), como o eth_call da Binance, que simula a execução de contratos e pode ser usado para chamar códigos maliciosos.
Como os pesquisadores do Guardio Labs alegaram em suas postagens no Medium, a Binance poderia mitigar esse ataque desativando consultas a endereços sinalizados como maliciosos ou desativando o SDK eth_call.
Por sua vez, a Binance sinalizou alguns contratos inteligentes ClearFake como maliciosos no BSCScan, o explorador dominante da Binance Smart Chain. Aqui, ele avisa aos exploradores de blockchain que os endereços do invasor fazem parte de um ataque de phishing.
No entanto, fornece poucas informações úteis sobre a forma do ataque. Especificamente, O BSCScan não exibe avisos para as vítimas reais onde ocorrem os hacks: dentro de seus navegadores da web.
Dicas do navegador da Web para evitar EtherHiding
O WordPress tornou-se conhecido por ser alvo de invasores, com um quarto de todos os sites usando a plataforma.
- Infelizmente, aproximadamente um quinto dos sites WordPress não foram atualizados para a versão mais recente, o que expõe os internautas a malware como o EtherHiding.
- Os administradores do site devem implementar medidas de segurança robustas, como manter as credenciais de login seguras, remover plug-ins comprometidos, proteger senhas e limitar o acesso do administrador.
- Os administradores do WordPress devem atualizar o WordPress e seus plugins diariamente e evitar usar plugins com vulnerabilidades.
- Os administradores do WordPress também devem evitar usar 'admin' como nome de usuário para suas contas de administração do WordPress.
Além disso, o ataque EtherHiding/ClearFake é difícil de bloquear. Os usuários da Internet devem simplesmente ter cuidado com qualquer notificação inesperada de 'Seu navegador precisa de atualização', especialmente ao visitar um site que usa WordPress. Os usuários só devem atualizar seu navegador na área de configurações do navegador - não clicando em um botão em um site, por mais realista que pareça.
Tem uma dica? Envie-nos um e-mail ou ProtonMail. Para notícias mais informadas, siga-nos em X, Instagram, Bluesky e Google News, ou assine nosso YouTube canal.
Fonte: https://protos.com/etherhiding-hack-uses-binance-blockchain-to-extort-wordpress-users/