Studiuesit në Guardio Labs kanë zbuluar një sulm të ri të njohur si 'EtherHiding', i cili përdor Binance Smart Chain dhe Bullet-Proof Hosting për të shërbyer kodin keqdashës brenda shfletuesve të uebit të viktimave.
Ndryshe nga një grup i mëparshëm i hakimeve të përditësimeve të rreme që shfrytëzonin WordPress, ky variant përdor një mjet të ri: Blockchain i Binance. Më parë, variantet jo-blockchain ndërprenë një vizitë në ueb me një kërkesë "Përditësimi" me pamje realiste dhe të stilit të shfletuesit. Klikimi i miut i viktimës instaloi malware.
Për shkak të programueshmërisë së lirë, të shpejtë dhe të kontrolluar dobët të Binance Smart Chain, hakerët mund të shërbejnë një ngarkesë shkatërruese kodi direkt nga ky blockchain.
Për të qenë të qartë, ky nuk është një sulm MetaMask. Hakerët thjesht shërbejnë kode me qëllim të keq brenda shfletuesve të uebit të viktimave që duket si çdo faqe interneti që hakeri dëshiron të krijojë – të pritur dhe të shërbyer në një mënyrë të pandalshme. Duke përdorur blockchain-in e Binance për të shërbyer kodin, hakerët sulmojnë viktimat për mashtrime të ndryshme zhvatjeje. Me të vërtetë, EtherHiding madje synon viktimat pa zotërime kriptosh.
Lexo më shumë: Reuters lë të kuptohet për 'sekretet e errëta' që rrethojnë Binance dhe rezervat e saj
Rrëmbimi i shfletuesit për të vjedhur informacionin tuaj
Brenda disa muajve të fundit, përditësimet e rreme të shfletuesit janë përhapur. Përdoruesit e internetit që nuk dyshojnë ndeshen me një faqe interneti të besueshme, të komprometuar fshehurazi. Ata shohin një përditësim mashtrues të shfletuesit dhe pa mendje klikojnë 'Përditëso'. Menjëherë, hakerët instalojnë malware si RedLine, Amadey ose Lumma. Ky lloj malware, i njohur si 'info vjedhës', shpesh fshihet nëpërmjet sulmeve trojan që kanë pamjen sipërfaqësore të softuerit legjitim.
Versioni EtherHiding i këtyre sulmeve të përditësimit të bazuara në WordPress përdor një info vjedhës më të fuqishëm, ClearFake. Duke përdorur ClearFake, EtherHiding injekton kodin JS në kompjuterët e përdoruesve që nuk dyshojnë.
Në një version të mëparshëm të ClearFake, disa kode mbështeteshin në serverët CloudFlare. CloudFlare zbuloi dhe eliminoi atë kod me qëllim të keq, i cili shkatërroi disa nga funksionet e sulmit ClearFake.
Fatkeqësisht, sulmuesit kanë mësuar se si të shmangin hostet me mendje të sigurisë kibernetike si CloudFlare. Ata gjetën një host të përsosur në Binance.
Sulmi EtherHiding veçanërisht ridrejton trafikun e tij te serverët Binance. Ai përdor një kod të turbullt Base64 që kërkon Binance Smart Chain (BSC) dhe inicializon një kontratë BSC me një adresë të kontrolluar nga sulmuesit. Ai quan veçanërisht disa komplete të zhvillimit të softuerit (SDK) si eth_call i Binance, të cilat simulojnë ekzekutimin e kontratës dhe mund të përdoren për të thirrur kode me qëllim të keq.
Siç u lutën studiuesit e Guardio Labs në postimet e tyre në Medium, Binance mund ta zbuste këtë sulm duke çaktivizuar pyetjet për adresat që i ka shënuar si keqdashëse ose duke çaktivizuar eth_call SDK.
Nga ana e saj, Binance ka shënuar disa kontrata inteligjente ClearFake si keqdashëse në BSCScan, eksploruesin dominues të Zinxhirit Smart të Binance. Këtu, ai paralajmëron eksploruesit e blockchain se adresat e sulmuesit janë pjesë e një sulmi phishing.
Megjithatë, ai ofron pak informacion të dobishëm për formën e sulmit. Konkretisht, BSCScan nuk shfaq paralajmërime për viktimat aktuale ku ndodhin hakimet: brenda shfletuesve të tyre të internetit.
Këshilla të shfletuesit të uebit për të shmangur EtherHiding
WordPress është bërë i njohur për të qenë një objektiv për sulmuesit, me një të katërtën e të gjitha faqeve të internetit që përdorin platformën.
- Fatkeqësisht, afërsisht një e pesta e faqeve të internetit të WordPress nuk janë përmirësuar në versionin më të fundit, i cili i ekspozon shfletuesit e internetit ndaj malware si EtherHiding.
- Administratorët e faqes duhet të zbatojnë masa të forta sigurie si mbajtja e sigurt e kredencialeve të hyrjes, heqja e shtojcave të komprometuara, sigurimi i fjalëkalimeve dhe kufizimi i aksesit të administratorit.
- Administratorët e WordPress duhet të përditësojnë WordPress dhe shtojcat e tij çdo ditë dhe të shmangin përdorimin e shtojcave me dobësi.
- Administratorët e WordPress duhet gjithashtu të shmangin përdorimin e 'admin' si një emër përdoruesi për llogaritë e tyre të administrimit të WordPress.
Përtej kësaj, sulmi EtherHiding/ClearFake është i vështirë për t'u bllokuar. Përdoruesit e internetit thjesht duhet të jenë të kujdesshëm ndaj çdo njoftimi të papritur 'Shfletuesi juaj ka nevojë për përditësim', veçanërisht kur vizitoni një faqe interneti që përdor WordPress. Përdoruesit duhet të përditësojnë shfletuesin e tyre vetëm nga zona e cilësimeve të shfletuesit — jo duke klikuar një buton brenda një faqe interneti, sado reale të duket.
Keni një këshillë? Na dërgoni një email ose ProtonMail. Për më shumë lajme të informuara, na ndiqni në X, Instagram, Blueskydhe Google News, ose abonohuni në faqen tonë YouTube kanal.
Burimi: https://protos.com/etherhiding-hack-uses-binance-blockchain-to-extort-wordpress-users/