« EtherHiding » : les États-nations et les groupes cybercriminels exploitent les contrats intelligents comme serveurs de commande et de contrôle pour fournir des charges utiles malveillantes cachées sur les blockchains.
Les acteurs de la menace au niveau des États-nations et les cybercriminels abusent de plus en plus des blockchains de crypto-monnaie pour héberger des charges utiles malveillantes avec une technique connue sous le nom d’« EtherHiding », qui rend leurs attaques plus difficiles à détecter et à neutraliser.
« Google Threat Intelligence Group (GTIG) a observé l’acteur malveillant UNC5342 de Corée du Nord (RPDC) utilisant ‘EtherHiding’ pour diffuser des logiciels malveillants et faciliter le vol de cryptomonnaie – c’est la première fois que GTIG observe un acteur étatique adopter cette méthode », ont écrit des chercheurs de Google dans un nouveau rapport.
Bien qu’il s’agisse de la première utilisation signalée d’EtherHiding par un acteur menaçant d’un État-nation, Google a observé que la technique était utilisée et perfectionnée au cours de l’année écoulée par le groupe cybercriminel UNC5142, qui compromet les sites Web WordPress pour distribuer des voleurs d’informations aux visiteurs.
La technique exploite les contrats intelligents, qui agissent comme des programmes stockés sur une blockchain, exécutant du code lorsqu’ils sont déclenchés. Les attaquants ont appris à les utiliser comme serveurs de commande et de contrôle (C2) pour renvoyer des charges utiles malveillantes lorsque les contrats sont exécutés une fois que des conditions spécifiques sont remplies.
Infrastructure C2 résiliente et décentralisée
L’un des avantages évidents d’abuser des contrats intelligents de cette manière est qu’ils sont immuables. Comparés à l’hébergement de logiciels malveillants sur un serveur loué ou compromis, les contrats intelligents sont très difficiles à supprimer par les sociétés de sécurité ou les forces de l’ordre, car les blockchains de crypto-monnaie sont, par conception, très décentralisées.
Pour rendre les choses encore plus difficiles, les attaquants utilisent une chaîne de plusieurs contrats intelligents qui se référencent les uns aux autres et chiffrent la charge utile afin qu’elle ne soit pas facilement détectable avec les outils d’analyse.
« Essentiellement, EtherHiding représente une transition vers un hébergement à toute épreuve de nouvelle génération, où les fonctionnalités inhérentes à la technologie blockchain sont réutilisées à des fins malveillantes », ont déclaré les chercheurs de Google. « Cette technique souligne l’évolution continue des cybermenaces à mesure que les attaquants s’adaptent et exploitent les nouvelles technologies à leur avantage. »
Utilisé dans de fausses campagnes de recrutement nord-coréennes
Contrairement à d’autres acteurs étatiques, les groupes APT nord-coréens sont connus pour mener des activités cybercriminelles en plus du cyberespionnage, car leur objectif est notamment de collecter des fonds pour le régime.
Ils y parviennent notamment en volant des crypto-monnaies aux entreprises et aux particuliers. Entre 2017 et 2023, on estime que la Corée du Nord a généré 1,7 milliard de dollars grâce aux vols de cryptomonnaies.
Cela a également été la tâche de l’UNC5342, qui a été à l’origine de campagnes d’ingénierie sociale qui attirent les développeurs de logiciels avec de fausses candidatures sur LinkedIn et sur les sites de recrutement.
Les faux recruteurs déplacent la conversation avec les candidats vers Discord ou Telegram et leur demandent de passer une évaluation technique qui implique le téléchargement de référentiels de codes empoisonnés depuis GitHub. Dans d’autres variantes, les candidats sont invités à un entretien vidéo, puis un message d’erreur de type ClickFix s’affiche qui leur demande de télécharger un logiciel pour résoudre un problème.
Le malware de première étape est généralement du code JavaScript malveillant hébergé dans un référentiel NPM malveillant. Son objectif est de télécharger et de déployer des chevaux de Troie de deuxième étape qui volent des portefeuilles de crypto-monnaie, des données d’extension de navigateur et des informations d’identification stockées localement. GTIG appelle ce malware de première étape le téléchargeur JADESNOW.
« JADESNOW utilise EtherHiding pour récupérer, décrypter et exécuter des charges utiles malveillantes à partir de contrats intelligents sur la chaîne intelligente BNB et Ethereum », ont déclaré les chercheurs. « Les données d’entrée stockées dans le contrat intelligent peuvent être codées en Base64 et cryptées par XOR. La charge utile finale de la chaîne d’infection JADESNOW est généralement une porte dérobée plus persistante comme INVISIBLEFERRET.JAVASCRIPT. »
De plus, le code de la porte dérobée INVISIBLEFERRET peut être réparti entre différents contrats intelligents et, une fois exécuté, il peut télécharger des charges utiles supplémentaires stockées à différentes adresses de blockchain, comme un voleur d’informations basé sur Python.
Le téléchargeur JavaScript malveillant utilisé par UNC5342 interroge les chaînes Ethereum ou BNB via plusieurs services API d’explorateur de blockchain, souvent avec des clés API gratuites. Bien que certains de ces services puissent répondre aux demandes de retrait, d’autres ne répondent pas. Mais l’utilisation de services API tiers n’est pas le seul moyen de lire ou de déclencher des contrats intelligents, comme l’a démontré l’acteur malveillant UNC5142.
Les campagnes ClickFix
Le groupe cybercriminel UNC5142 est connu pour distribuer des programmes de vol d’informations depuis 2023 à l’aide de fausses fenêtres contextuelles de mise à jour de Google Chrome affichées aux visiteurs de sites Web compromis. Ces fausses fenêtres contextuelles de mise à jour du navigateur ont été générées via un framework JavaScript malveillant que les chercheurs de ProofPoint avaient précédemment surnommé CLEARFAKE.
Les chercheurs de Google ont suivi une évolution de ce framework qu’ils appellent CLEARSHORT, qui télécharge des charges utiles malveillantes supplémentaires à partir de contrats intelligents déployés sur la BNB Smart Chain.
« La page d’accueil CLEARSHORT exploite ClickFix, une technique d’ingénierie sociale populaire visant à inciter les victimes à exécuter localement une commande malveillante à l’aide de la boîte de dialogue Exécuter de Windows », ont déclaré les chercheurs.
UNC5142 cible principalement les sites Web WordPress. Google a suivi plus de 14 000 pages Web présentant des signes de compromission par UNC5142, qui injecte son code malveillant dans des plugins, thèmes ou bases de données WordPress existants.
Le code malveillant CLEARSHORT exploite Web3.js, une bibliothèque qui permet l’interaction avec les nœuds Ethereum sur différents protocoles Web tels que HTTP, IPC ou WebSocket. Cette bibliothèque est utilisée pour se connecter à la BNB Smart Chain via un nœud public.
L’utilisation des contrats intelligents par UNC5142 a évolué au fil du temps, passant du stockage de la charge utile dans un seul contrat à la division désormais de différents composants d’attaque en trois composants distincts, permettant ainsi à différentes parties de l’attaque d’être mises à niveau individuellement.
« Cette nouvelle architecture est une adaptation d’un principe légitime de conception de logiciels connu sous le nom de modèle proxy, que les développeurs utilisent pour rendre leurs contrats évolutifs », ont déclaré les chercheurs. « Un proxy stable et immuable transfère les appels vers un contrat de deuxième niveau distinct qui peut être remplacé pour corriger des bugs ou ajouter des fonctionnalités. »
