Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Смарт-контракты Binance: новое средство для заражения и кражи данных

17/10/23

download (4)-1

Специалисты ИБ-компании Guardio Labs рассказали о новой кампании, начавшейся в августе, в ходе которой злоумышленники начали использовать смарт-контракты Binance Smart Chain (BSC) для размещения вредоносного кода. Об этом пишут Securitylab.

Интересный поворот представляет собой последнюю версию кампании, которая использует скомпрометированные сайты WordPress для того, чтобы предложить ничего не подозревающим посетителям обновить свои браузеры перед доступом к сайтам. Скачанное поддельное обновление в конечном итоге приводит к развертыванию вредоносного ПО для кражи информации, такого как Amadey, Lumma или RedLine.

Начальный метод размещения кода на хостах Cloudflare Workers был устранён, но злоумышленники быстро переключились на использование децентрализованной, анонимной и публичной природы блокчейна. Как отметили исследователи безопасности, кампания стала более сложной для обнаружения и ликвидации.

Неудивительно, что хакеры атаковали сайты WordPress через вредоносные плагины, а также использовали общедоступные уязвимости популярных плагинов для взлома сайтов, что дает возможность полностью захватывать зараженные сайты.

В последней серии атак киберпреступники внедрили обфусцированные Javascript-коды, предназначенные для создания смарт-контракта с адресом блокчейна, контролируемым атакующими.

Цель состоит в том, чтобы получить скрипт второго этапа, который извлекает полезную нагрузку третьего этапа с сервера управления и контроля (Command and Control, C2). Затем извлечённый код отображает пользователю поддельные уведомления об обновлении браузера. Если жертва нажмет кнопку обновления на поддельном оверлее, она будет перенаправлена на загрузку вредоносного исполняемого файла с легитимных файловых сервисов, включая Dropbox.

Размещение биткоин-адреса и связанного с ним контракта на децентрализованном сервисе даёт мошенникам преимущество, так как в настоящее время нет способа вмешаться и прервать цепочку атак. Рекомендуется, чтобы пользователи, полагающиеся на CMS-систему WordPress, придерживались лучших практик кибербезопасности, регулярно обновляли свои системы, удаляли нежелательных администраторов и устанавливали надежные пароли.

Темы:УгрозыBinanceCloudflareGuardicore Labs
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...