Onderzoekers van Guardio Labs hebben een nieuwe aanval ontdekt die bekend staat als 'EtherHiding', waarbij gebruik wordt gemaakt van Binance Smart Chain en Bullet-Proof Hosting om kwaadaardige code in de webbrowsers van slachtoffers door te geven.
In tegenstelling tot een eerdere reeks nep-update-hacks die misbruik maakten van WordPress, gebruikt deze variant een nieuwe tool: De blockchain van Binance. Eerder onderbraken niet-blockchain-varianten een webpaginabezoek met een realistisch ogende, browserstijl 'Update'-prompt. Met de muisklik van een slachtoffer werd malware geïnstalleerd.
Vanwege de goedkope, snelle en slecht gecontroleerde programmeerbaarheid van Binance Smart Chain kunnen hackers een verwoestende lading code rechtstreeks vanuit deze blockchain bedienen.
Voor alle duidelijkheid: dit is geen MetaMask-aanval. Hackers plaatsen eenvoudigweg kwaadaardige code in de webbrowser van het slachtoffer, die eruitziet als een webpagina die de hacker wil maken, en die op een onstuitbare manier wordt gehost en aangeboden. Met behulp van de blockchain van Binance om code uit te voeren, vallen hackers slachtoffers aan voor verschillende afpersingsfraude. Inderdaad, EtherHiding richt zich zelfs op slachtoffers zonder crypto-bezit.
Lees meer: Reuters verwijst naar ‘duistere geheimen’ rond Binance en zijn reserves
De browser kapen om uw gegevens te stelen
De afgelopen maanden zijn er steeds meer valse browserupdates verschenen. Nietsvermoedende internetgebruikers komen een geloofwaardige, in het geheim gecompromitteerde website tegen. Ze zien een frauduleuze browserupdate en klikken afwezig op 'Update'. Hackers installeren onmiddellijk malware zoals RedLine, Amadey of Lumma. Dit type malware, bekend als 'infostealer', verbergt zich vaak via Trojaanse paardenaanvallen die er oppervlakkig uitzien als legitieme software.
De EtherHiding-versie van deze op WordPress gebaseerde update-aanvallen maakt gebruik van een krachtigere infostealer, ClearFake. Met behulp van ClearFake injecteert EtherHiding JS-code in de computers van nietsvermoedende gebruikers.
In een eerdere versie van ClearFake was sommige code afhankelijk van CloudFlare-servers. CloudFlare heeft deze kwaadaardige code gedetecteerd en geëlimineerd, waardoor een deel van de functionaliteit van de ClearFake-aanval werd vernietigd.
Helaas hebben de aanvallers geleerd hoe ze op cyberbeveiliging gerichte hosts zoals CloudFlare kunnen omzeilen. Ze hebben een perfecte host gevonden in Binance.
Met name de EtherHiding-aanval stuurt zijn verkeer om naar Binance-servers. Het maakt gebruik van een versluierde Base64-code die Binance Smart Chain (BSC) opvraagt en een BSC-contract initialiseert met een adres dat wordt beheerd door de aanvallers. Het roept met name een aantal software-ontwikkelingskits (SDK's) aan, zoals Binance's eth_call, die de uitvoering van contracten simuleren en kunnen worden gebruikt om kwaadaardige code aan te roepen.
Zoals onderzoekers van Guardio Labs in hun Medium-posts pleitten, zou Binance deze aanval kunnen verzachten door zoekopdrachten naar adressen die het als kwaadaardig heeft gemarkeerd uit te schakelen, of door de eth_call SDK uit te schakelen.
Op zijn beurt heeft Binance een aantal ClearFake slimme contracten gemarkeerd als kwaadaardig op BSCCScan, de dominante Binance Smart Chain-verkenner. Hier waarschuwt het blockchain-verkenners dat de adressen van de aanvaller deel uitmaken van een phishing-aanval.
Het biedt echter weinig nuttige informatie over de vorm van de aanval. Specifiek, BSCSCcan geeft geen waarschuwingen weer aan de daadwerkelijke slachtoffers waar de hacks plaatsvinden: in hun webbrowser.
Webbrowsertips om EtherHiding te vermijden
WordPress is berucht geworden omdat het een doelwit is voor aanvallers, waarbij een kwart van alle websites het platform gebruikt.
- Helaas is ongeveer een vijfde van de WordPress-websites niet geüpgraded naar de nieuwste versie, waardoor internetsurfers worden blootgesteld aan malware zoals EtherHiding.
- Sitebeheerders moeten robuuste beveiligingsmaatregelen implementeren, zoals het veilig houden van inloggegevens, het verwijderen van gecompromitteerde plug-ins, het beveiligen van wachtwoorden en het beperken van beheerderstoegang.
- WordPress-beheerders moeten WordPress en zijn plug-ins dagelijks upgraden en het gebruik van plug-ins met kwetsbaarheden vermijden.
- WordPress-beheerders moeten ook vermijden om 'admin' als gebruikersnaam te gebruiken voor hun WordPress-beheeraccounts.
Daarnaast is de EtherHiding/ClearFake-aanval moeilijk te blokkeren. Internetgebruikers moeten eenvoudigweg op hun hoede zijn voor onverwachte meldingen dat uw browser moet worden bijgewerkt, vooral wanneer ze een website bezoeken die gebruikmaakt van WordPress. Gebruikers mogen hun browser alleen bijwerken vanuit het instellingengebied van de browser – niet door op een knop binnen een website te klikken, hoe realistisch deze ook lijkt.
Heb je een tip? Stuur ons een e-mail of ProtonMail. Volg ons op voor meer geïnformeerd nieuws X, Instagram, Bluesky en Google Nieuws, of abonneer u op onze YouTube kanaal.
Bron: https://protos.com/etherhiding-hack-uses-binance-blockchain-to-extort-wordpress-users/