Les pirates nord-coréens utilisent désormais une méthode basée sur la blockchain connue sous le nom d'EtherHiding pour diffuser des logiciels malveillants facilitant leurs opérations de vol de cryptomonnaies. Selon les experts, un pirate nord-coréen a été découvert utilisant cette méthode, où les attaquants intègrent des codes comme des charges utiles JavaScript dans un Smart Contract (Contrat Intelligent) basé sur la blockchain.
En utilisant cette méthode, les pirates transforment le registre décentralisé en un système de commande et de contrôle (C2) résilient. Selon un article de blog publié par le Google Threat Intelligence Group (GTIG), c'est la première fois qu'il observe un acteur de cette envergure utiliser cette méthode. Il affirme que l'utilisation d'EtherHiding est pratique face aux efforts conventionnels de suppression et de blocage. Le groupe de renseignement sur les menaces a mentionné qu'il suit l'acteur de menace UNC5342 depuis février 2025, intégrant EtherHiding dans une campagne d'ingénierie sociale en cours.
Les pirates nord-coréens se tournent vers EtherHiding
Google a mentionné qu'il a lié l'utilisation d'EtherHiding à une campagne d'ingénierie sociale suivie par Palo Alto Networks sous le nom de Contagious Interview. Cette campagne a été menée par des acteurs nord-coréens. Selon les chercheurs de Socket, le groupe a étendu ses opérations avec un nouveau chargeur de logiciels malveillants, XORIndex. Ce chargeur a accumulé des milliers de téléchargements, ciblant les demandeurs d'emploi et les personnes supposées posséder des actifs numériques ou des identifiants sensibles.
Dans cette campagne, les pirates nord-coréens utilisent le logiciel malveillant JADESNOW pour distribuer une variante JavaScript d'INVISIBLEFERRET, qui a été utilisée pour effectuer de nombreux vols de cryptomonnaies. La campagne cible les développeurs dans les industries crypto et technologiques, volant des données sensibles, des actifs numériques et obtenant l'accès aux réseaux d'entreprise. Elle s'articule également autour d'une tactique d'ingénierie sociale qui copie les processus de recrutement légitimes en utilisant de faux recruteurs et des entreprises fictives.
De faux recruteurs sont utilisés pour attirer les candidats vers des plateformes comme Telegram ou Discord. Ensuite, le logiciel malveillant est livré à leurs systèmes et appareils via de faux tests de codage ou des téléchargements de logiciels déguisés en évaluations techniques ou en correctifs d'entretien. La campagne utilise un processus d'infection par logiciel malveillant en plusieurs étapes, qui implique généralement des logiciels malveillants comme JADESNOW, INVISIBLEFERRET et BEAVERTAIL, pour compromettre les appareils des victimes. Le logiciel malveillant affecte les systèmes Windows, Linux et macOS.
Les chercheurs détaillent les inconvénients d'EtherHiding
EtherHiding offre un meilleur avantage aux attaquants, le GTIG notant qu'il agit comme une menace particulièrement difficile à atténuer. Un élément central d'EtherHiding qui est préoccupant est sa nature décentralisée. Cela signifie qu'il est stocké sur une blockchain sans permission et décentralisée, rendant difficile pour les forces de l'ordre ou les entreprises de cybersécurité de le neutraliser car il n'a pas de serveur central. L'identité de l'attaquant est également difficile à suivre en raison de la nature pseudonyme des transactions blockchain.
Il est également difficile de supprimer du code malveillant dans les Smart Contracts déployés sur la blockchain si vous n'êtes pas le propriétaire du contrat. L'attaquant qui contrôle le Smart Contract, dans ce cas les pirates nord-coréens, peut également choisir de mettre à jour la charge utile malveillante à tout moment. Bien que les chercheurs en sécurité puissent essayer d'avertir la communauté d'un contrat malveillant en le marquant, cela n'empêche pas les pirates d'effectuer leurs activités malveillantes en utilisant le Smart Contract.
De plus, les attaquants peuvent récupérer leur charge utile malveillante en utilisant des appels en lecture seule qui ne laissent pas d'historique de transaction visible sur la blockchain, rendant difficile pour les chercheurs de suivre leurs activités sur la blockchain. Selon le rapport de recherche sur les menaces, EtherHiding représente un "changement vers l'hébergement à l'épreuve des balles de nouvelle génération" où les caractéristiques les plus flagrantes de la technologie blockchain sont utilisées par des escrocs à des fins malveillantes.
Rejoignez une communauté premium de trading crypto gratuitement pendant 30 jours – normalement 100$/mois.
Source: https://www.cryptopolitan.com/north-korean-hackers-crypto-stealing-malware/
