Guardio Labs 的研究人員發現了一種名為「EtherHiding」的新攻擊,該攻擊使用幣安智慧鍊和防彈託管在受害者的網路瀏覽器中提供惡意程式碼。
與早期利用 WordPress 的虛假更新黑客套件不同,此變體使用了一個新工具: 幣安的區塊鏈。 早些時候,非區塊鏈變體透過逼真的瀏覽器風格的「更新」提示來中斷網頁存取。 受害者點擊滑鼠就安裝了惡意軟體。
由於幣安智能鏈廉價、快速且監管不力的可編程性,駭客可以直接從該區塊鏈提供毀滅性的程式碼負載。
需要明確的是,這不是 MetaMask 攻擊。 駭客只是在受害者的網路瀏覽器中提供惡意程式碼,這些瀏覽器看起來就像駭客想要創建的任何網頁一樣,以不可阻擋的方式託管和提供服務。 駭客利用幣安的區塊鏈來提供程式碼,攻擊受害者進行各種勒索詐騙。 的確, EtherHiding 甚至針對沒有加密資產的受害者.
了解更多:路透社暗示幣安及其儲備金存在“黑暗秘密”
劫持瀏覽器竊取您的訊息
在過去的幾個月裡,虛假的瀏覽器更新激增。 毫無戒心的網路使用者會遇到一個可信的、被秘密入侵的網站。 他們看到欺詐性的瀏覽器更新並心不在焉地點擊“更新”。 駭客會立即安裝 RedLine、Amadey 或 Lumma 等惡意軟體。 這種類型的惡意軟體被稱為“資訊竊取者”,通常透過表面上看起來像合法軟體的特洛伊木馬攻擊來隱藏。
這些基於 WordPress 的更新攻擊的 EtherHiding 版本 使用更強大的資訊竊取器 ClearFake。 EtherHiding 使用 ClearFake 將 JS 程式碼注入毫無戒心的使用者電腦中。
在 ClearFake 的早期版本中,某些程式碼依賴 CloudFlare 伺服器。 CloudFlare 偵測並消除了該惡意程式碼,該程式碼破壞了 ClearFake 攻擊的部分功能。
不幸的是,攻擊者已經學會如何躲避像 CloudFlare 這樣具有網路安全意識的主機。 他們在幣安找到了一個完美的主機。
EtherHiding 攻擊尤其引人注目 將其流量重定向到幣安伺服器。 它使用模糊的 Base64 程式碼來查詢幣安智能鏈(BSC)並使用攻擊者控制的地址初始化 BSC 合約。 值得注意的是,它調用了一些軟體開發工具包(SDK),例如幣安的 eth_call,它模擬合約執行並可用於呼叫惡意程式碼。
正如 Guardio Labs 研究人員在他們的 Medium 帖子中懇求的那樣,幣安可以通過禁用對其標記為惡意的地址的查詢或禁用 eth_call SDK 來緩解這種攻擊。
就幣安而言,幣安已在主要的幣安智能鏈瀏覽器 BSCScan 上將一些 ClearFake 智能合約標記為惡意合約。 在這裡,它警告區塊鏈瀏覽器攻擊者的地址是網路釣魚攻擊的一部分。
然而,它幾乎沒有提供有關攻擊形式的有用資訊。 具體來說, BSCScan 不會向發生駭客攻擊的實際受害者顯示警告:在他們的網頁瀏覽器中。
避免 EtherHiding 的 Web 瀏覽器提示
WordPress 因成為攻擊者的目標而臭名昭著,四分之一的網站使用該平台。
- 不幸的是,大約五分之一的 WordPress 網站尚未升級到最新版本,這使網路衝浪者面臨 EtherHiding 等惡意軟體的攻擊。
- 網站管理員應實施強大的安全措施,例如保證登入憑證的安全性、刪除受損的外掛程式、保護密碼和限制管理員存取。
- WordPress管理員應該每天升級WordPress及其插件,並避免使用有漏洞的外掛。
- WordPress 管理員也應避免使用「admin」作為其 WordPress 管理帳戶的使用者名稱。
除此之外,EtherHiding/ClearFake 攻擊很難被阻止。 網路使用者應該警惕任何意外的「您的瀏覽器需要更新」通知,尤其是在造訪使用 WordPress 的網站時。 使用者只能從瀏覽器的設定區域更新瀏覽器 - 不是透過點擊網站內的按鈕,無論它看起來多麼現實。
有小費嗎? 給我們發送電子郵件或 ProtonMail。 更多消息,請關注我們 X, Instagram, 藍天和 Google新聞,或訂閱我們的 YouTube 通道。
來源:https://protos.com/etherhiding-hack-uses-binance-blockchain-to-extort-wordpress-users/