EtherHiding (ЭтерСокрытие) — это злоумышленники прячут вредоносный код (например, JavaScript или загрузчики) внутри смарт-контрактов на публичных блокчейнах (Ethereum, BNB Smart Chain и др.).
Принципы работы:
Таким образом, EtherHiding становится новым способом «хостинга» вредоносного ПО, устойчивым к стандартным методам блокировки доменов или серверов.
Авторы статьи обнаружили, что один из северокорейских хакерских коллективов, именуемый UNC5342, использует EtherHiding в рамках своей киберкампании.
Вот как это работает на практике:
Социальная инженерия и фишинг
Атакующие создают фиктивные предложения о работе или проводят «интервью», чтобы заинтересовать специалистов — часто из сферы криптовалют и технологий.
Им предлагают выполнить «тестовое задание» или скачать что-то, что якобы нужно для интервью. На самом деле — это вредоносный код.
Внедрение загрузчика (loader script)
На сайте (возможно поддельном или взломанном) размещают небольшой JavaScript-скрипт, «загрузчик». Когда пользователь заходит на сайт, этот скрипт запускается в браузере жертвы.
Чтение вредоносного кода из блокчейна
Загрузчик обращается к смарт-контракту на блокчейне и читает закодированный вредоносный код (payload). Поскольку используется функция чтения (без транзакции), это практически не видно на цепочке.
Выполнение вредоносного кода на стороне жертвы
Код выполняется на компьютере жертвы, затем может установить бэкдоры, украсть данные, криптовалюту и т.д.
Примечательно, что злоумышленники могут переключаться между разными блокчейнами (например, с Ethereum на BNB Smart Chain), чтобы усложнить анализ и избежать блокировок.
Один из используемых вредоносных инструментов — JADESNOW — JavaScript-загрузчик, который через механизм EtherHiding достаёт более серьёзный бэкдор (например, INVISIBLEFERRET)