blockchain

"EtherHiding" ჰაკი იყენებს Binance ბლოკჩეინს WordPress მომხმარებლების გამოძალვის მიზნით

7 თვის წინ
Bitcoin Ethereum News

Guardio Labs-ის მკვლევარებმა აღმოაჩინეს ახალი შეტევა, რომელიც ცნობილია როგორც "EtherHiding", რომელიც იყენებს Binance Smart Chain-ს და Bullet-Proof Hosting-ს, რათა ემსახუროს მავნე კოდებს მსხვერპლის ვებ ბრაუზერებში.

ადრინდელი ყალბი განახლების ჰაკერებისგან განსხვავებით, რომლებიც იყენებდნენ WordPress-ს, ეს ვარიანტი იყენებს ახალ ინსტრუმენტს: Binance- ის ბლოკჩეინი. ადრე, არაბლოკჩეინის ვარიანტებმა შეწყვიტეს ვებგვერდის ვიზიტი რეალისტური გარეგნობის, ბრაუზერის სტილის მოწოდებით „განახლება“. დაზარალებულის მაუსის დაწკაპუნებით დაინსტალირებული მავნე პროგრამა.

Binance Smart Chain-ის იაფი, სწრაფი და ცუდად კონტროლირებადი პროგრამირებადობის გამო, ჰაკერებს შეუძლიათ გამოიყენონ კოდის დამანგრეველი დატვირთვა პირდაპირ ამ ბლოკჩეინიდან.

გასაგებად რომ ვთქვათ, ეს არ არის MetaMask შეტევა. ჰაკერები უბრალოდ ემსახურებიან მავნე კოდს მსხვერპლის ვებ ბრაუზერებში, რომელიც ჰგავს ნებისმიერ ვებგვერდს, რომლის შექმნაც ჰაკერს სურს – მასპინძლობს და ემსახურება შეუჩერებლად. Binance-ის ბლოკჩეინის გამოყენებით კოდის მოსამსახურებლად, ჰაკერები თავს ესხმიან მსხვერპლს სხვადასხვა გამოძალვის თაღლითობისთვის. Ნამდვილად, EtherHiding მიზნად ისახავს მსხვერპლებსაც კი, რომლებსაც არ აქვთ კრიპტო სამფლობელოები.

დაწვრილებით: Reuters მიანიშნებს Binance-ისა და მისი რეზერვების გარშემო არსებულ „ბნელ საიდუმლოებზე“.

ბრაუზერის გატაცება თქვენი ინფორმაციის მოსაპარად

ბოლო რამდენიმე თვის განმავლობაში, ბრაუზერის ყალბი განახლებები მომრავლდა. უეჭველი ინტერნეტ მომხმარებლები ხვდებიან დამაჯერებელ, ფარულად კომპრომეტირებულ ვებსაიტს. ისინი ხედავენ ბრაუზერის თაღლითურ განახლებას და უაზროდ დააწკაპუნებენ 'განახლება'. დაუყოვნებლივ, ჰაკერები აყენებენ მავნე პროგრამას, როგორიცაა RedLine, Amadey ან Lumma. ამ ტიპის მავნე პროგრამა, რომელიც ცნობილია როგორც „infostealer“, ხშირად იმალება ტროას შეტევების საშუალებით, რომლებსაც აქვთ ლეგიტიმური პროგრამული უზრუნველყოფის ზედაპირული სახე.

WordPress-ზე დაფუძნებული განახლების შეტევების EtherHiding ვერსია იყენებს უფრო მძლავრ infostealer, ClearFake. ClearFake-ის გამოყენებით, EtherHiding უშვებს JS კოდს არასაეჭვო მომხმარებლების კომპიუტერებში.

ClearFake-ის ადრინდელ ვერსიაში, ზოგიერთი კოდი ეყრდნობოდა CloudFlare სერვერებს. CloudFlare-მა აღმოაჩინა და აღმოფხვრა ეს მავნე კოდი, რამაც გაანადგურა ClearFake შეტევის ზოგიერთი ფუნქცია.

სამწუხაროდ, თავდამსხმელებმა ისწავლეს როგორ აირიდონ კიბერუსაფრთხოებაზე მოაზროვნე მასპინძლები, როგორიცაა CloudFlare. მათ Binance-ში შესანიშნავი მასპინძელი იპოვეს.

განსაკუთრებით EtherHiding შეტევა გადამისამართებს თავის ტრაფიკს Binance სერვერებზე. ის იყენებს გაურკვეველ Base64 კოდს, რომელიც კითხულობს Binance Smart Chain-ს (BSC) და ახდენს BSC კონტრაქტის ინიციალიზებას თავდამსხმელების მიერ კონტროლირებადი მისამართით. ის განსაკუთრებით უწოდებს პროგრამული უზრუნველყოფის განვითარების კომპლექტებს (SDK), როგორიცაა Binance-ის eth_call, რომელიც ახდენს კონტრაქტის შესრულების სიმულაციას და შეიძლება გამოყენებულ იქნას მავნე კოდის გამოსაძახებლად. 

როგორც Guardio Labs-ის მკვლევარები ითხოვდნენ თავიანთ საშუალო პოსტებში, Binance-ს შეეძლო შეემცირებინა ეს შეტევა იმ მისამართებზე მოთხოვნების გამორთვით, რომლებიც მან მოინიშნა, როგორც მავნე, ან გააუქმა eth_call SDK.

თავის მხრივ, Binance-მა რამდენიმე ClearFake ჭკვიანი კონტრაქტი მონიშნა, როგორც მავნე BSCScan-ზე, Binance Smart Chain-ის დომინანტურ მკვლევარზე. აქ ის აფრთხილებს ბლოკჩეინის მკვლევარებს, რომ თავდამსხმელის მისამართები ფიშინგის შეტევის ნაწილია.

თუმცა, ის მცირე სასარგებლო ინფორმაციას გვაწვდის თავდასხმის ფორმის შესახებ. კონკრეტულად, BSCScan არ აჩვენებს გაფრთხილებებს რეალურ მსხვერპლებზე, სადაც ხდება ჰაკინგი: მათი ვებ ბრაუზერების შიგნით.

ვებ ბრაუზერის რჩევები EtherHiding-ის თავიდან ასაცილებლად

WordPress გახდა ცნობილი იმით, რომ იყო თავდამსხმელების სამიზნე, რადგან პლატფორმას იყენებს ყველა ვებსაიტის ერთი მეოთხედი.

  • სამწუხაროდ, WordPress ვებსაიტების დაახლოებით მეხუთედი არ განახლებულა უახლეს ვერსიამდე, რაც ინტერნეტსერფერებს ავლენს მავნე პროგრამებს, როგორიცაა EtherHiding.
  • საიტის ადმინისტრატორებმა უნდა განახორციელონ უსაფრთხოების მკაცრი ზომები, როგორიცაა შესვლის სერთიფიკატების დაცვა, კომპრომეტირებული დანამატების ამოღება, პაროლების დაცვა და ადმინისტრატორის წვდომის შეზღუდვა.
  • WordPress-ის ადმინისტრატორებმა ყოველდღიურად უნდა განაახლონ WordPress-ი და მისი დანამატები და მოერიდონ მოწყვლადობის მქონე დანამატების გამოყენებას.
  • WordPress-ის ადმინისტრატორებმა ასევე უნდა მოერიდონ „admin“-ს, როგორც მომხმარებლის სახელის გამოყენებას WordPress-ის ადმინისტრაციის ანგარიშებისთვის.

ამის გარდა, EtherHiding/ClearFake შეტევის დაბლოკვა რთულია. ინტერნეტის მომხმარებლები უბრალოდ ფრთხილად უნდა იყვნენ ნებისმიერი მოულოდნელი შეტყობინებით „თქვენი ბრაუზერი საჭიროებს განახლებას“, განსაკუთრებით მაშინ, როდესაც სტუმრობთ ვებსაიტს, რომელიც იყენებს WordPress-ს. მომხმარებლებმა უნდა განაახლონ ბრაუზერი მხოლოდ ბრაუზერის პარამეტრების ზონიდან — არა ღილაკზე დაწკაპუნებით ვებსაიტზე, რაც არ უნდა რეალისტური იყოს ის.

მიიღეთ რჩევა? გამოგვიგზავნეთ ელ.წერილი ან ProtonMail. მეტი ინფორმირებული სიახლეებისთვის, მოგვყევით X, Instagram, Blueskyდა Google ამბები, ან გამოიწერეთ ჩვენი YouTube არხი.

წყარო: https://protos.com/etherhiding-hack-uses-binance-blockchain-to-extort-wordpress-users/