Una nuova minaccia informatica sta emergendo dalla Corea del Nord, mentre gli hacker finanziati dal suo Stato stanno sperimentando l'inserimento di codice dannoso direttamente nelle reti blockchain.
Il Threat Intelligence Group (GTIG) di Google ha riferito il 17 ottobre che la tecnica, denominata EtherHiding, segna una nuova evoluzione nel modo in cui gli hacker nascondono, distribuiscono e controllano il malware nei sistemi decentralizzati.
Che cos'è EtherHiding?
GTIG ha spiegato che EtherHiding consente agli aggressori di trasformare in armi gli smart contract e le blockchain pubbliche come Ethereum e BNB Smart Chain, utilizzandoli per archiviare payload dannosi.
Una volta caricato un pezzo di codice su questi registri decentralizzati, rimuoverlo o bloccarlo diventa quasi impossibile a causa della loro natura immutabile.
"Sebbene gli smart contract offrano modi innovativi per creare applicazioni decentralizzate, la loro natura immutabile viene sfruttata in EtherHiding per ospitare e distribuire codice dannoso in un modo che non può essere facilmente bloccato", ha scritto GTIG.
In pratica, gli hacker compromettono siti web WordPress legittimi, spesso sfruttando vulnerabilità non corrette o credenziali rubate.
Dopo aver ottenuto l'accesso, inseriscono alcune righe di codice JavaScript, note come "loader", nel codice del sito web. Quando un visitatore apre la pagina infetta, il loader si connette silenziosamente alla blockchain e recupera il malware da un server remoto.
GTIG ha sottolineato che questo attacco spesso non lascia tracce visibili delle transazioni e richiede commissioni minime o nulle, poiché avviene off-chain. Questo, in sostanza, consente agli aggressori di operare inosservati.
In particolare, GTIG ha fatto risalire il primo caso di EtherHiding a settembre 2023, quando è apparso in una campagna nota come CLEARFAKE, che ingannava gli utenti con falsi prompt di aggiornamento del browser.
Come prevenire l'attacco
I ricercatori di sicurezza informatica affermano che questa tattica segnala un cambiamento nella strategia digitale della Corea del Nord, che passa dal semplice furto di criptovalute all'utilizzo della blockchain stessa come arma stealth.
"EtherHiding rappresenta un passaggio verso un hosting a prova di bomba di nuova generazione, in cui le caratteristiche intrinseche della tecnologia blockchain vengono riutilizzate per scopi dannosi. Questa tecnica sottolinea la continua evoluzione delle minacce informatiche, man mano che gli aggressori si adattano e sfruttano le nuove tecnologie a proprio vantaggio", ha affermato GTIG.
John Scott-Railton, ricercatore senior presso Citizen Lab, ha descritto EtherHiding come un "esperimento in fase iniziale". Ha avvertito che combinarlo con l'automazione basata sull'intelligenza artificiale potrebbe rendere gli attacchi futuri molto più difficili da rilevare.
"Mi aspetto che gli aggressori sperimentino anche il caricamento diretto di exploit zero click su blockchain, prendendo di mira sistemi e app che elaborano blockchain… soprattutto se a volte sono ospitati sugli stessi sistemi e reti che gestiscono le transazioni/hanno portafogli", ha aggiunto .
Questo nuovo vettore di attacco potrebbe avere gravi implicazioni per il settore delle criptovalute, considerando che gli aggressori nordcoreani sono particolarmente prolifici.
I dati di TRM Labs mostrano che gruppi legati alla Corea del Nord hanno già rubato oltre 1,5 miliardi di dollari in criptovalute solo quest'anno. Gli investigatori ritengono che questi fondi contribuiscano a finanziare i programmi militari di Pyongyang e gli sforzi per eludere le sanzioni internazionali.
Alla luce di ciò, il GTIG ha consigliato agli utenti di criptovalute di ridurre i rischi bloccando i download sospetti e limitando gli script web non autorizzati. Il gruppo ha inoltre esortato i ricercatori di sicurezza a identificare ed etichettare il codice dannoso incorporato nelle reti blockchain.
L'articolo Gli hacker nordcoreani trasformano la blockchain in un'arma nella nuova campagna "EtherHiding" è apparso per la prima volta su BeInCrypto .