Что такое EtherHiding? Google обнаружила вредоносное ПО, крадущее криптовалюту через смарт-контракты

Северокорейские хакеры взяли на вооружение метод распространения вредоносного ПО, предназначенного для кражи криптовалюты и конфиденциальной информации, путем внедрения вредоносного кода в смарт-контракты в публичных блокчейн-сетях. Об этом сообщила Группа анализа угроз Google.Эта техника, получившая название EtherHiding, появилась в 2023 году и, как правило, используется в сочетании с методами социальной инженерии. К ним относятся: обращение к жертвам с фальшивыми предложениями о работе и приглашениями на важные собеседования, а также направление пользователей на вредоносные веб-сайты или ссылки, сообщает Google.Хакеры получают контроль над легитимным адресом веб-сайта с помощью скрипта-загрузчика (Loader Script) и внедряют код JavaScript на сайт. Это запускает отдельный пакет вредоносного кода в смарт-контракте, предназначенный для кражи средств и данных, как только пользователь взаимодействует со скомпрометированным сайтом.Скомпрометированный веб-сайт взаимодействует с блокчейн-сетью, используя функцию только для чтения, которая фактически не создает транзакцию в реестре. Это позволяет злоумышленникам избежать обнаружения и минимизировать комиссии за транзакции, отметили исследователи Google.Отчет подчеркивает необходимость бдительности в криптосообществе, чтобы защитить пользователей от мошенничества и взломов, которые часто используются злоумышленниками, пытающимися украсть средства и ценную информацию как у частных лиц, так и у организаций.По данным Google, злоумышленники создают фальшивые компании, рекрутинговые агентства и профили, чтобы предлагать разработчикам программного обеспечения и криптовалют поддельные вакансии.После первоначального предложения злоумышленники переносят общение на платформы для обмена сообщениями, такие как Discord или Telegram, и предлагают жертве пройти тест на трудоустройство или выполнить задание по программированию.Суть атаки происходит на этапе технической оценки, — заявили в Google Threat Intelligence. На этом этапе жертве обычно предлагают загрузить вредоносные файлы из онлайн-репозиториев кода, таких как GitHub, где хранится вредоносная нагрузка.В других случаях злоумышленники заманивают жертву в видеозвонок, где пользователю отображается фальшивое сообщение об ошибке, побуждая его загрузить патч для ее исправления. Этот программный патч также содержит вредоносный код.Для особо ценных целей иногда применяется третий этап, который позволяет злоумышленникам получить долгосрочный доступ к скомпрометированной машине и другим системам, подключенным к ее сети, предупредила Google.