Pohjoiskorealaisten uhkaajien uusi menetelmä
Pohjoiskorealaiset uhkaajat ovat omaksuneet EtherHiding-nimisen lohkoketjupohjaisen tekniikan, jonka avulla he levittävät haittaohjelmia, jotka on suunniteltu varastamaan kryptovaroja, mukaan lukien XRP. Googlen uhkatiedusteluryhmän mukaan tämä on ensimmäinen kerta, kun valtion toimija on havaittu käyttävän tätä menetelmää.
Menetelmän toiminta
Menetelmä upottaa haitallisia JavaScript-koodipaketteja lohkoketjun älysopimuksiin luodakseen kestäviä komentopalvelimia. EtherHiding-tekniikka kohdistuu kryptovaroja ja teknologiaa kehittäviin ammattilaisiin sosiaalisen manipuloinnin kampanjoiden kautta, joita kutsutaan nimellä ”Contagious Interview”. Kampanja on johtanut lukuisiin kryptovarkauksiin, jotka ovat vaikuttaneet XRP-haltijoihin ja muiden digitaalisten varojen käyttäjiin.
Haitallisen koodin tallentaminen
EtherHiding tallentaa haitallista koodia hajautettuihin ja luvanvaraisiin lohkoketjuihin, mikä poistaa keskuspalvelimien tarpeen, jolloin lainvalvontaviranomaiset tai kyberturvayritykset eivät voi sulkea niitä. Hyökkääjät, jotka hallitsevat älysopimuksia, voivat päivittää haitallisia koodipaketteja milloin tahansa ja ylläpitää jatkuvaa pääsyä vaarantuneisiin järjestelmiin.
”Googlen raportti kuvaa EtherHidingia siirtymänä seuraavan sukupolven luotettavaan hostingiin, jossa lohkoketjuteknologian ominaisuudet mahdollistavat haitalliset tarkoitukset.”
Käyttäjien vuorovaikutus ja haittaohjelmat
Kun käyttäjät ovat vuorovaikutuksessa vaarantuneiden sivustojen kanssa, koodi aktivoituu varastamaan XRP:ta, muita kryptovaroja ja arkaluontoisia tietoja. Vaarantuneet verkkosivustot kommunikoivat lohkoketjuverkkojen kanssa käyttämällä vain luku -toimintoja, jotka välttävät pääkirjatapahtumien luomista. Tämä minimoi havaitsemisen ja tapahtumamaksut.
Contagious Interview -kampanja
Contagious Interview -kampanja keskittyy sosiaalisen manipuloinnin taktiikoihin, jotka jäljittelevät laillisia rekrytointiprosesseja vale-rekrytoijien ja keksittyjen yritysten kautta. Vale-rekrytoijat houkuttelevat ehdokkaita alustoille, kuten Telegram tai Discord, ja toimittavat sitten haittaohjelmia harhaanjohtavien kooditestien tai valeohjelmistolatausten kautta, jotka naamioidaan teknisiksi arvioinneiksi.
Monivaiheinen haittaohjelmatartunta
Kampanja käyttää monivaiheista haittaohjelmatartuntaa, mukaan lukien JADESNOW, BEAVERTAIL ja INVISIBLEFERRET -variantteja, jotka vaikuttavat Windows-, macOS- ja Linux-järjestelmiin. Uhrit uskovat osallistuvansa laillisiin työhaastatteluihin samalla kun he tietämättään lataavat haittaohjelmia, jotka on suunniteltu saamaan jatkuva pääsy yritysverkkoihin ja varastamaan kryptovaroja.