- UNC5342 utiliza contratos inteligentes de blockchain para entregar malware de robo de criptomonedas a través de EtherHiding
- Los trabajos falsos y los desafíos de codificación atraen a los desarrolladores a activar el cargador y la puerta trasera JadeSnow
- La inmutabilidad de Blockchain hace que el alojamiento de malware sea resistente
Los actores de amenazas patrocinados por el estado de Corea del Norte ahora están utilizando cadenas de bloques públicas para alojar código malicioso e implementarlo. malware en los puntos finales de destino.
Esto es según Grupo de inteligencia sobre amenazas de Google (GTIG)quienes dijeron que observaron a UNC5342 usando Ethereum y BNB para alojar droppers y, en última instancia, implementar malware de robo de criptomonedas contra desarrolladores de software y blockchain.
La técnica se llama EtherHiding. En lugar de enviar un archivo malicioso directamente a la víctima (o engañarla para que lo descargue), codifican partes del malware en transacciones blockchain y contratos inteligentes.
Evolución del hosting a prueba de balas
El contrato inteligente en sí no ejecuta malware automáticamente en la computadora de alguien, pero poder entregar instrucciones o código cuando un usuario interactúa con él (cuando hace clic en un enlace, ejecuta un script o conecta una billetera criptográfica).
La cadena de bloques es un gran lugar para almacenar y distribuir malware, ya que es pública, inmutable y casi imposible de manipular.
“Esto representa un cambio hacia el alojamiento a prueba de balas de próxima generación”. Google dijo, enfatizando que la naturaleza resistente de blockchain es lo que la hace tan atractiva para los ciberdelincuentes.
Desde febrero, se observó UNC5342. creando trabajos falsos y desafíos de codificaciónengañando a los desarrolladores y otras personas que trabajan en el espacio Web3 para descargar diferentes archivos. Estos archivos se conectan al cadena de bloques y recuperar el código que, a su vez, instala el cargador JadeSnow. Este cargador elimina la puerta trasera InvisibleFerret, que ya se ha observado que se utiliza en robos de criptomonedas.
Esta no es la primera vez que vemos que se utiliza blockchain para distribuir malware. La técnica se utiliza desde 2023 y, en el mismo informe, Google también mencionó a un actor con motivación financiera UNC5142 que utiliza la misma técnica.
Este grupo fue visto comprometer sitios de WordPress para alojar código JavaScript malicioso que está conectado a la cadena de bloques. Hasta el momento se han encontrado más de 14.000 sitios infectados.
Corea del Norte es conocida por apuntar a la industria de la criptografía y utilizar los fondos robados para financiar su programa de armas y su aparato estatal.
A través de El récord
Siga TechRadar en Google News y agréganos como fuente preferida para recibir noticias, reseñas y opiniones de nuestros expertos en sus feeds. ¡Asegúrate de hacer clic en el botón Seguir!
Y por supuesto también puedes Siga TechRadar en TikTok para noticias, reseñas, unboxings en forma de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp también.
