Álcázott toborzók és hamis feladatok
Az UNC5342 nevű, phenjani székhelyű csoport február óta alkalmazza ezt a technikát. Az elkövetők elismert techcégek vagy kriptovállalkozások munkatársainak adják ki magukat, így keresnek fel fejlesztőket LinkedInen és állásportálokon. Nem hagyható figyelmen kívül, hogy a megbízhatónak tűnő profilok mögött valójában csalók állnak. Az “állásinterjú” során beszélgetést kezdeményeznek a jelentkezővel, majd átterelik őket Telegramra vagy Discordra, és egy programozási teszt letöltésére kérik.
Blokkláncra rejtett kártevők
A feladatnak álcázott letöltések valójában kártevőket tartalmaznak. Miután az áldozat letölti ezeket, egy többlépcsős fertőzési folyamat indul el: először egy npm-alapú letöltő jelenik meg a gépen, amely JavaScript-alapú második lépcsős kártevőket húz le, például a BEAVERTAIL-t vagy a JADESNOW-t. Ezek képesek feltérképezni és ellopni a kriptotárcákat, böngészőbővítmény-adatokat és belépési adatokat.
Az EtherHiding legnagyobb előnye a támadók számára, hogy a rosszindulatú programokat okosszerződésekben rejtik el a decentralizált blokkláncon, így nincs központi szerver, amit a hatóságok leállíthatnának, és nehéz visszafejteni, hogy ki áll a támadás mögött. A kártevő képes okosszerződésekből titkosított támadási utasításokat letölteni és futtatni láthatatlanul, minden tranzakciós nyom nélkül.
Hogyan védekezhetsz?
A támadás utolsó fázisában a trükkös program egy INVISIBLEFERRET nevű hátsó ajtót telepít, amely tartós hozzáférést biztosít az eszközhöz. Így a támadók hosszú távon követhetik az áldozatot, eltulajdoníthatnak további adatokat, feltérképezhetik a számítógépes hálózatokat.
Ennek fényében célszerű a rendszergazdáknak blokkolni bizonyos fájltípusok (például .exe, .msi, .bat vagy .dll) letöltését, tiltani a gyanús weboldalakat és blokklánc-csomópontokat, illetve valós idejű veszélyfigyelő megoldásokat bevetni. Így csökkenthető az EtherHiding típusú támadások hatékonysága és időtartama.
