Google: La Corea del Nord utilizza la blockchain per distribuire malware

Google Avverte sulla Corea del Nord che Inserisce Malware nelle Blockchain Pubbliche

I Fatti:

In un report emesso il 16 ottobre, il Google Threat Intelligence Group ha allertato sull’uso delle blockchain pubbliche per nascondere malware da parte di azioni di minaccia di stati nazionali, inclusa la Corea del Nord.

La campagna utilizza un metodo chiamato “EtherHiding”, che consente agli attaccanti di incorporare codice dannoso come parte di uno smart contract residente nelle blockchain pubbliche come Ethereum e BNB Chain. Il metodo è emerso nel 2023, ma Google afferma che è la prima volta che ha osservato uno stato nazionale adottarlo.

EtherHiding comprende anche le previste campagne di social engineering che includono la creazione di aziende fittizie e il targeting di profili lavorativi legati all’industria delle criptovalute o a protocolli di criptovalute noti.

Il contagio avviene quando le parti interessate vengono sottoposte a test di programmazione che includono il download di strumenti infetti, o attraverso download di software per riunioni video.

Google evidenzia che JADESNOW, un malware utilizzato dalla Corea del Nord che sfrutta EtherHiding, mostra la versatilità di questi strumenti basati su blockchain. Esaminandolo, il gruppo ha trovato che il contratto dannoso è stato aggiornato oltre 20 volte nei primi quattro mesi, per $1,37 di commissioni di gas per aggiornamento.

“Il basso costo e la frequenza di questi aggiornamenti illustrano la capacità dell’attaccante di cambiare facilmente la configurazione della campagna.” ha dichiarato Google.

Perché è Rilevante:

L’uso di questo tipo di tecnica, dove la blockchain è utilizzata come meccanismo di distribuzione per malware, potrebbe spingere i regolatori ad adottare un approccio più rigido all’adozione di queste tecnologie.

Mentre il malware ospitato su un server remoto può essere mirato e cancellato, l’immutabilità della blockchain significa che le aziende di sicurezza devono cercare altri modi per prevenire la diffusione, prendendo di mira i fornitori di API che permettono di spostare questo codice alle vittime.

Il gruppo di Google stesso ha affermato che questo nuovo approccio implica “nuove sfide” poiché “gli smart contract operano autonomamente e non possono essere disattivati”.

Guardando Avanti:

Gli analisti si aspettano che l’adozione di questo tipo di tecnica continui a crescere in futuro e venga combinata con altri processi innovativi per renderle ancora più pericolose, prendendo di mira sistemi che gestiscono blockchain o direttamente portafogli.

FAQ 🧭

• Quale recente minaccia ha identificato Google riguardo alle blockchain pubbliche?
  Google ha riportato che attori di stati nazionali, inclusa la Corea del Nord, stanno usando un metodo chiamato “EtherHiding” per incorporare malware all’interno di smart contract su blockchain pubbliche come Ethereum e BNB Chain.

• Come funziona il metodo EtherHiding?
  EtherHiding consente agli attaccanti di nascondere codice dannoso all’interno di smart contract e si basa su tattiche di social engineering, come la creazione di aziende false per attirare chi cerca lavoro nell’ambito delle criptovalute.

• Quale malware specifico è stato associato a questa nuova tecnica?
  Il report ha evidenziato JADESNOW, un malware nordcoreano che utilizza EtherHiding, mostrando frequenti aggiornamenti e costi operativi bassi per modificare la configurazione dell’attacco.

• Quali implicazioni ha questa tecnica per la regolamentazione delle blockchain?
  Poiché l’immutabilità della blockchain complica la rimozione del malware, i regolatori potrebbero cercare controlli più severi sulle tecnologie blockchain per mitigare la minaccia in evoluzione dell’esploit del malware negli ambienti delle criptovalute.