Guardio Labs зерттеушілері құрбандардың веб-шолғыштарында зиянды кодқа қызмет көрсету үшін Binance Smart Chain және Bullet-Proof хостингін пайдаланатын «EtherHiding» деп аталатын жаңа шабуылды анықтады.
WordPress-ті пайдаланатын жалған жаңартуларды бұзудың бұрынғы жиынтығынан айырмашылығы, бұл нұсқа жаңа құралды пайдаланады: Binance-тің блокчейні. Бұрын блокчейн емес нұсқалар шынайы көрінетін, браузер стиліндегі «Жаңарту» шақыруымен веб-бетке кіруді тоқтатты. Жәбірленуші тінтуірді басқан кезде орнатылған зиянды бағдарлама.
Binance Smart Chain бағдарламасының арзан, жылдам және нашар полицияланған бағдарламалануының арқасында хакерлер осы блокчейннен тікелей кодтың жойқын пайдалы жүктемесіне қызмет ете алады.
Түсінікті болу үшін, бұл MetaMask шабуылы емес. Хакерлер жәбірленушінің веб-шолғыштарында зиянкес кодты жай ғана қызмет етеді, ол хакер жасағысы келетін кез келген веб-бетке ұқсайды — орналастырылған және тоқтаусыз қызмет көрсетеді. Binance блокчейнін кодқа қызмет көрсету үшін пайдалана отырып, хакерлер әртүрлі бопсалау алаяқтықтары үшін құрбандарға шабуыл жасайды. Әрине, EtherHiding тіпті крипто холдингтері жоқ құрбандарға да бағытталған.
Толығырақ: Reuters Binance және оның қорларының айналасындағы «қараңғы құпияларға» нұсқайды
Ақпаратыңызды ұрлау үшін браузерді ұрлау
Соңғы бірнеше ай ішінде браузерлердің жалған жаңартулары көбейді. Күдіксіз интернет пайдаланушылары сенімді, жасырын түрде бұзылған веб-сайтқа тап болады. Олар браузердің жалған жаңартуын көріп, «Жаңарту» түймесін басады. Бірден хакерлер RedLine, Amadey немесе Lumma сияқты зиянды бағдарламаларды орнатады. «Ақпарат ұрлау» деп аталатын зиянды бағдарламаның бұл түрі көбінесе заңды бағдарламалық жасақтаманың үстірт көрінісі бар трояндық шабуылдар арқылы жасырылады.
Осы WordPress негізіндегі жаңарту шабуылдарының EtherHiding нұсқасы қуаттырақ ақпарат ұрлау құралын пайдаланады, ClearFake. ClearFake көмегімен EtherHiding күдікті емес пайдаланушылардың компьютерлеріне JS кодын енгізеді.
ClearFake бұрынғы нұсқасында кейбір код CloudFlare серверлеріне сүйенді. CloudFlare ClearFake шабуылының кейбір функционалдығын бұзатын зиянды кодты анықтады және жойды.
Өкінішке орай, шабуылдаушылар CloudFlare сияқты киберқауіпсіздікті ойлайтын хосттардан қалай жалтаруды үйренді. Олар Binance-те тамаша хост тапты.
EtherHiding шабуылы ерекше трафигін Binance серверлеріне қайта бағыттайды. Ол Binance Smart Chain (BSC) сұрайтын және шабуылдаушылар басқаратын мекенжайы бар BSC келісімшартын инициализациялайтын түсініксіз Base64 кодын пайдаланады. Ол келісім-шарттың орындалуын имитациялайтын және зиянды кодты шақыру үшін пайдаланылуы мүмкін Binance eth_call сияқты кейбір бағдарламалық жасақтаманы әзірлеу жинақтарын (SDK) деп атайды.
Guardio Labs зерттеушілері Орташа жазбаларында өтінгеніндей, Binance зиянды деп белгілеген мекенжайларға сұрауларды өшіру немесе eth_call SDK өшіру арқылы бұл шабуылды азайта алады.
Өз тарапынан Binance кейбір ClearFake смарт-келісімшарттарын BSCScan-да, Binance Smart Chain зерттеушісінде зиянды деп белгіледі. Мұнда ол блокчейн зерттеушілеріне шабуылдаушының мекенжайлары фишингтік шабуылдың бөлігі екенін ескертеді.
Дегенмен, ол шабуылдың пішіні туралы аз пайдалы ақпарат береді. Атап айтқанда, BSCScan бұзылулар орын алған нақты құрбандарға ескертулерді көрсетпейді: олардың веб-шолғыштарында.
EtherHiding болдырмау үшін веб-шолғыш кеңестері
WordPress шабуылдаушылардың нысанасы ретінде танымал болды, бұл платформаны барлық веб-сайттардың төрттен бірі пайдаланады.
- Өкінішке орай, WordPress веб-сайттарының шамамен бестен бірі соңғы нұсқаға жаңартылмады, бұл интернет-серферлерді EtherHiding сияқты зиянды бағдарламаларға ұшыратады.
- Сайт әкімшілері кіру тіркелгі деректерін қауіпсіз сақтау, бұзылған плагиндерді жою, құпия сөздерді қорғау және әкімші қатынасын шектеу сияқты сенімді қауіпсіздік шараларын орындауы керек.
- WordPress әкімшілері WordPress-ті және оның плагиндерін күн сайын жаңартып, осалдықтары бар плагиндерді пайдаланбауы керек.
- Сондай-ақ WordPress әкімшілері WordPress әкімші тіркелгілері үшін пайдаланушы аты ретінде «admin» дегенді пайдаланудан аулақ болуы керек.
Бұдан басқа, EtherHiding/ClearFake шабуылын блоктау қиын. Интернет пайдаланушылары, әсіресе WordPress пайдаланатын веб-сайтқа кірген кезде, кез келген күтпеген «Сіздің браузеріңіз жаңартуды қажет етеді» хабарландыруынан сақ болуы керек. Пайдаланушылар браузерді тек шолғыштың параметрлер аймағынан жаңартуы керек — веб-сайттағы түймені басу арқылы емес, ол қаншалықты шынайы көрінсе де.
Кеңес алдыңыз ба? Бізге электрондық пошта немесе ProtonMail жіберіңіз. Толығырақ ақпарат алу үшін бізге жазылыңыз X, Instagram, Блюзский, және Google Жаңалықтар, немесе біздің арнаға жазылыңыз YouTube арна.
Дереккөз: https://protos.com/etherhiding-hack-uses-binance-blockchain-to-extort-wordpress-users/