Blockchain

«EtherHiding» հաքերն օգտագործում են Binance բլոկչեյնը՝ WordPress-ի օգտատերերին կորզելու համար

7 ամիս առաջ
Bitcoin Ethereum Նորություններ

Guardio Labs-ի հետազոտողները հայտնաբերել են նոր հարձակում, որը հայտնի է որպես «EtherHiding», որն օգտագործում է Binance Smart Chain-ը և Bullet-Proof Hosting-ը՝ զոհերի վեբ բրաուզերներում չարամիտ կոդ սպասարկելու համար:

Ի տարբերություն ավելի վաղ կեղծ թարմացումների հաքերների, որոնք շահագործում էին WordPress-ը, այս տարբերակն օգտագործում է նոր գործիք. Binance-ի բլոկչեյն. Ավելի վաղ, ոչ բլոկչեյն տարբերակներն ընդհատում էին վեբ էջ այցելությունը՝ իրատեսական տեսք ունեցող, բրաուզերի ոճով «Թարմացում» հուշումով: Տուժողի մկնիկի սեղմումով տեղադրված չարամիտ ծրագիր:

Binance Smart Chain-ի էժան, արագ և վատ վերահսկվող ծրագրավորելիության պատճառով հաքերները կարող են ուղղակիորեն այս բլոկչեյնից կոդերի կործանարար ծանրաբեռնվածություն մատուցել:

Հստակ լինելու համար սա MetaMask հարձակում չէ: Հաքերները պարզապես վնասաբեր կոդ են մատուցում զոհերի վեբ բրաուզերների ներսում, որը նման է ցանկացած վեբ էջին, որը ցանկանում է ստեղծել հաքերը՝ հոսթինգ և սպասարկվող անկասելի ձևով: Օգտագործելով Binance-ի բլոկչեյնը՝ կոդը սպասարկելու համար, հաքերները հարձակվում են զոհերի վրա՝ տարբեր շորթման խարդախությունների համար: Իսկապես, EtherHiding-ը նույնիսկ թիրախավորում է այն զոհերին, որոնք չունեն կրիպտո պահումներ.

Կարդացեք ավելին. Reuters-ը ակնարկում է Binance-ի և նրա պահուստների շուրջ «մութ գաղտնիքները»:

Բրաուզերի առևանգում ձեր տեղեկատվությունը գողանալու համար

Վերջին մի քանի ամիսների ընթացքում բրաուզերի կեղծ թարմացումները շատացել են: Ինտերնետից չկասկածող օգտատերերը բախվում են հավատալու, գաղտնի վտանգված կայքի հետ: Նրանք տեսնում են զննարկչի կեղծ թարմացում և անսխալ սեղմում են «Թարմացնել»: Անմիջապես հաքերները տեղադրում են չարամիտ ծրագրեր, ինչպիսիք են RedLine, Amadey կամ Lumma: Այս տեսակի չարամիտ ծրագրերը, որոնք հայտնի են որպես «ինֆո-գողոն», հաճախ թաքնվում են տրոյական հարձակումների միջոցով, որոնք ունեն օրինական ծրագրաշարի մակերեսային տեսք:

WordPress-ի վրա հիմնված այս թարմացման հարձակումների EtherHiding տարբերակը օգտագործում է ավելի հզոր ինֆոգողոն՝ ClearFake. Օգտագործելով ClearFake-ը, EtherHiding-ը JS կոդը ներարկում է անհասկանալի օգտատերերի համակարգիչներում:

ClearFake-ի ավելի վաղ տարբերակում որոշ կոդեր հիմնված էին CloudFlare սերվերների վրա: CloudFlare-ը հայտնաբերել և վերացրել է այդ վնասակար կոդը, որը ջնջել է ClearFake հարձակման որոշ գործառույթներ:

Ցավոք, հարձակվողները սովորել են, թե ինչպես խուսափել CloudFlare-ի նման կիբերանվտանգության տրամադրված հյուրընկալողներից: Նրանք կատարյալ հյուրընկալող գտան Binance-ում:

Հատկանշական է EtherHiding հարձակումը վերահղում է իր տրաֆիկը դեպի Binance սերվերներ. Այն օգտագործում է անորոշ Base64 կոդ, որը հարցում է անում Binance Smart Chain-ին (BSC) և նախաստորագրում է BSC պայմանագիր հարձակվողների կողմից վերահսկվող հասցեով: Այն հատկապես կանչում է ծրագրային ապահովման մշակման որոշ փաթեթներ (SDK), ինչպիսիք են Binance-ի eth_call-ը, որոնք նմանեցնում են պայմանագրի կատարումը և կարող են օգտագործվել վնասակար կոդ կանչելու համար: 

Ինչպես պնդում էին Guardio Labs-ի հետազոտողները իրենց Medium գրառումներում, Binance-ը կարող էր մեղմել այս հարձակումը՝ անջատելով հարցումները այն հասցեներին, որոնք նա նշել է որպես վնասակար, կամ անջատելով eth_call SDK-ն:

Իր հերթին, Binance-ը նշել է որոշ ClearFake խելացի պայմանագրեր որպես վնասակար BSCScan-ում, որը գերիշխող Binance Smart Chain Explorer-ն է: Այստեղ այն զգուշացնում է բլոկչեյն հետազոտողներին, որ հարձակվողի հասցեները ֆիշինգային հարձակման մի մասն են:

Այնուամենայնիվ, այն քիչ օգտակար տեղեկատվություն է տրամադրում հարձակման ձևի մասին: Մասնավորապես, BSCScan-ը չի ցուցադրում նախազգուշացումներ իրական զոհերին, որտեղ տեղի են ունենում հաքերները: իրենց վեբ բրաուզերների ներսում:

Վեբ բրաուզերի խորհուրդներ՝ EtherHiding-ից խուսափելու համար

WordPress-ը դարձել է տխրահռչակ հարձակվողների թիրախ լինելու համար, քանի որ բոլոր կայքերի մեկ քառորդն օգտագործում է հարթակը:

  • Ցավոք սրտի, WordPress կայքերի մոտավորապես մեկ հինգերորդը չի արդիականացվել մինչև վերջին տարբերակը, ինչը բացահայտում է ինտերնետ սերֆերներին EtherHiding-ի նման չարամիտ ծրագրերը:
  • Կայքի ադմինիստրատորները պետք է իրականացնեն ամուր անվտանգության միջոցներ, ինչպիսիք են մուտքի հավատարմագրերի անվտանգությունը, վտանգված պլագինների հեռացումը, գաղտնաբառերի պաշտպանությունը և ադմինիստրատորի մուտքի սահմանափակումը:
  • WordPress-ի ադմինիստրատորները պետք է ամեն օր թարմացնեն WordPress-ը և դրա հավելումները և խուսափեն խոցելիություններ ունեցող պլագիններից:
  • WordPress-ի ադմինիստրատորները պետք է նաև խուսափեն «admin» օգտագործել որպես օգտանուն իրենց WordPress-ի ադմինիստրացիայի հաշիվների համար:

Դրանից դուրս, EtherHiding/ClearFake հարձակումը դժվար է արգելափակել: Ինտերնետից օգտվողները պարզապես պետք է զգուշանան «Ձեր դիտարկիչը թարմացման կարիք ունի» ցանկացած անսպասելի ծանուցումից, հատկապես երբ այցելում եք WordPress-ն օգտագործող կայք: Օգտագործողները պետք է թարմացնեն իրենց զննարկիչը միայն բրաուզերի կարգավորումների տարածքից — ոչ թե վեբկայքում գտնվող կոճակը սեղմելով, որքան էլ դա իրատեսական լինի:

Դուք հուշում ունե՞ք: Ուղարկեք մեզ էլեկտրոնային նամակ կամ ProtonMail: Ավելի տեղեկացված նորությունների համար հետևեք մեզ X, Instagram, Բլեսսկին, եւ Google News- ը, կամ բաժանորդագրվեք մեր YouTube ալիքը.

Աղբյուր՝ https://protos.com/etherhiding-hack-uses-binance-blockchain-to-extort-wordpress-users/