En rapport från Google Threat Intelligence Group varnade för en malwarekampanj genomförd av Nordkorea som använder EtherHiding. Kampanjen använder ett smart kontrakt på en publik kedja, såsom Ethereum eller BNB, för att undvika radering eller borttagning på traditionella sätt.
Google: Nordkorea använder blockchain för att distribuera malware
SKRIVEN AV
DELA
Google varnar för att Nordkorea placerar malware i offentliga blockkedjor
Fakta:
I en rapport utfärdad den 16 oktober, varnade Google Threat Intelligence Group för användningen av offentliga blockkedjor för att dölja malware från statssanktionerade hot, inklusive Nordkorea.
Kampanjen använder en metod kallad “EtherHiding,” vilket tillåter angripare att bädda in skadlig kod som del av ett smart kontrakt som finns i offentliga blockkedjor som Ethereum och BNB Chain. Metoden ökade i popularitet 2023, men Google anger att detta är första gången de har observerat att en stat använder den.
EtherHiding omfattar också förväntade sociala ingenjörskampanjer som inkluderar att etablera falska företag och rikta sig mot arbetsprofiler kopplade till kryptovalutaindustrin eller kända kryptovalutaprotokoll.
Smitten sker när intresserade parter utsätts för programmeringstester som inkluderar nedladdning av infekterade verktyg, eller genom nedladdning av videomötesprogramvara.
Google framhäver att JADESNOW, en malware använd av Nordkorea som utnyttjar EtherHiding, visar dessa blockkedjebaserade verktygs mångsidighet. Vid granskning fann gruppen att det skadliga kontraktet har uppdaterats över 20 gånger inom de första fyra månaderna, för $1,37 i gasavgifter per uppdatering.
“Den låga kostnaden och frekvensen av dessa uppdateringar illustrerar angriparens förmåga att enkelt ändra kampanjens konfiguration,” deklarerade Google.
Varför det är relevant:
Användningen av denna typ av teknik, där blockkedjan används som en distributionsmekanism för malware, kan föranleda tillsynsmyndigheter till att inta en hårdare inställning till adoptionen av dessa teknologier.
Medan malware som är värd på en fjärrserver kan riktas och raderas, innebär blockkedjans oföränderlighet att säkerhetsföretag måste söka andra sätt att förhindra spridningen, och inrikta sig på API-leverantörer som tillåter transaktioner för att flytta koden till offren.
Googles grupp själva uppgav att detta nya tillvägagångssätt innebär “nya utmaningar” eftersom “smarta kontrakt arbetar autonomt och inte kan stängas av.”
Framåt:
Analytiker förväntar att adoptionen av denna typ av teknik kommer att fortsätta växa i framtiden, och att den kommer kombineras med andra innovativa processer för att göra den ännu farligare, riktade mot system som hanterar blockkedjor eller plånböcker direkt.
FAQ 🧭
-
Vilket nyligen hot identifierade Google angående offentliga blockkedjor?
Google rapporterade att statssanktionerade aktörer, inklusive Nordkorea, använder en metod kallad “EtherHiding” för att bädda in malware inom smarta kontrakt på offentliga blockkedjor som Ethereum och BNB Chain. -
Hur fungerar EtherHiding-metoden?
EtherHiding tillåter angripare att dölja skadlig kod inom smarta kontrakt och bygger på sociala ingenjörstaktiker, som att skapa falska företag för att lura jobbsökande inom kryptovaluta. -
Vilken specifik malware har associerats med denna nya teknik?
Rapporten lyfte fram JADESNOW, en Nordkoreansk malware som använder EtherHiding, vilket visar frekventa uppdateringar och låga driftskostnader för att ändra dess attackkonfiguration. -
Vilka konsekvenser har denna teknik för reglering av blockkedjor?
Eftersom blockkedjans oföränderlighet komplicerar borttagning av malware, kan tillsynsmyndigheter söka striktare kontroller över blockkedjeteknologier för att mildra det växande hotet från malwares utnyttjande i kryptovalutamiljöer.
