O Google Threat Intelligence Group (GTIG) detectou um grupo de hackers norte-coreanos que começou a usar uma técnica chamada EtherHiding para distribuir malware através de smart contracts em blockchains públicas, como a Ethereum e a Binance Smart Chain.
A técnica, descrita pela primeira vez em 2023, permite armazenar e actualizar código malicioso directamente na blockchain, tornando-o quase impossível de remover e extremamente difícil de rastrear. Ao contrário dos métodos tradicionais, em que o malware fica alojado num servidor que pode ser desactivado, este método oferece anonimato, resistência a remoção e, ainda por cima, custo reduzido - cada actualização de contrato custa pouco mais de um dólar em taxas.
O grupo, identificado como UNC5342 e associado ao regime da Coreia do Norte, usa o EtherHiding em campanhas de engenharia social disfarçadas de entrevistas de emprego para programadores. As vítimas são levadas a executar código durante supostos testes técnicos, que descarregam o JADESNOW, um downloader em JavaScript capaz de descarregar o malware da blockchain e por fim lançar o InvisibleFerret, spyware usado em espionagem a longo prazo.
Os investigadores recomendam que os administradores de sistema restrinjam o download de ficheiros executáveis (coisa que já deveriam fazer de qualquer forma), enquanto os utilizadores no grupo alvo devem desconfiar de ofertas de emprego que envolvam a execução de código ou a instalação de ficheiros desconhecidos. Em caso de dúvida, podem/devem sempre usar uma máquina isolada ou, pelo menos, fazer esses testes numa máquina virtual para minimizar os riscos.
Sem comentários:
Enviar um comentário (problemas a comentar?)