Így működik az EtherHiding
Az EtherHiding lényege, hogy a támadók a payloadokat (káros kódokat) közvetlenül nyilvános blokkláncokra, például a Binance Smart Chain-re vagy az Ethereumra töltik fel, okosszerződésekbe ágyazva. A blokklánc sajátosságai – névtelenség, cenzúraállóság és olcsó, gyakori frissítési lehetőség – tökéletes fedőréteget adnak a támadásoknak. A káros kód letöltése ráadásul úgynevezett read-only hívásokkal történik, így a műveleteknek nincs nyoma a tranzakciós naplóban.
Célkeresztben a fejlesztők
A kiválasztott áldozatokat álinterjú során ráveszik, hogy futtassanak le egy technikai feladathoz kapcsolódó kódot. Ez a kód egy JavaScript letöltőt futtat (JADESNOW), amely a blokkláncról tölt le egy második szintű kártevőt (InvisibleFerret). Ez a kártevő a gép memóriájában fut, újabb modulokat tölt be, jelszavakat, hitelkártyaadatokat, kriptotárca-információkat gyűjt, majd ZIP-fájlokban küldi tovább parancsvezérlésű szerverekre vagy akár a Telegramra.
A védekezés lehetőségei
A támadók gyakran módosítják az okosszerződéseket – négy hónap alatt több mint húsz alkalommal, mindössze 500 Ft frissítésenként –, így gyorsan változtathatnak kampányuk részletein. A szakértők szerint minden gyanús letöltést izolált környezetben érdemes tesztelni, illetve erős böngésző- és letöltési korlátozásokat kell bevezetni a vállalati rendszereken, különösen a kockázatos állományokra.
