Hackers norte-coreanos estão agora a usar um método baseado em blockchain conhecido como EtherHiding para entregar malware para facilitar as suas operações de roubo de cripto. De acordo com especialistas, um hacker norte-coreano foi descoberto a usar este método, onde os atacantes incorporam códigos como JavaScript Payloads dentro de um contrato inteligente baseado em blockchain.
Usando o método, os hackers transformam o ledger distribuido numa resiliente estrutura de comando e controle (C2). De acordo com um post de blog publicado pelo Google Threat Intelligence Group (GTIG), esta é a primeira vez que observa um ator desta escala a usar este método. Afirmou que usar o EtherHiding é conveniente face aos esforços convencionais de remoção e bloqueio. O grupo de inteligência de ameaças mencionou que tem estado a rastrear o ator de ameaça UNC5342 desde fevereiro de 2025, integrando o EtherHiding numa campanha de engenharia social em curso.
Hackers norte-coreanos recorrem ao EtherHiding
O Google mencionou que ligou o uso do EtherHiding a uma campanha de engenharia social rastreada pela Palo Alto Networks como Contagious Interview. A Contagious Interview foi realizada por atores norte-coreanos. De acordo com os investigadores da Socket, o grupo expandiu a sua operação com um novo carregador de malware, XORIndex. O carregador acumulou milhares de downloads, tendo como alvos candidatos a emprego e indivíduos que se acredita possuírem ativos digitais ou credenciais sensíveis.
Nesta campanha, os hackers norte-coreanos usam o malware JADESNOW para distribuir uma variante JavaScript do INVISIBLEFERRET, que tem sido usado para realizar muitos roubos de criptomoedas. A campanha tem como alvo desenvolvedores nas indústrias de cripto e tecnologia, roubando dados sensíveis, ativos digitais e ganhando acesso a redes corporativas. Também se centra numa tática de engenharia social que copia processos legítimos de recrutamento usando recrutadores falsos e empresas fabricadas.
Recrutadores falsos são usados para atrair candidatos para plataformas como Telegram ou Discord. Depois disso, o malware é então entregue aos seus sistemas e dispositivos através de testes de codificação falsos ou downloads de software disfarçados como avaliações técnicas ou correções de entrevista. A campanha usa um processo de infeção de malware em várias etapas, que geralmente envolve malware como JADESNOW, INVISIBLEFERRET e BEAVERTAIL, para comprometer os dispositivos da vítima. O malware afeta sistemas Windows, Linux e macOS.
Investigadores detalham os contras do EtherHiding
O EtherHiding proporciona uma melhor vantagem aos atacantes, com o GTIG observando que atua como uma ameaça particularmente desafiadora de mitigar. Um elemento central do EtherHiding que é preocupante é que é descentralizado por natureza. Isso significa que é armazenado em uma blockchain descentralizada e sem permissão, tornando difícil para as forças de segurança ou empresas de cibersegurança derrubá-lo porque não tem um servidor central. A identidade do atacante também é difícil de rastrear devido à natureza pseudónima das transações blockchain.
Também é difícil remover código malicioso em contratos inteligentes implantados na blockchain se não for o proprietário do contrato. O atacante no controle do contrato inteligente, neste caso, os hackers norte-coreanos, também pode optar por atualizar a carga maliciosa a qualquer momento. Embora os investigadores de segurança possam tentar alertar a comunidade sobre um contrato malicioso marcando-o, isso não impede que os hackers realizem suas atividades maliciosas usando o contrato inteligente.
Além disso, os atacantes podem recuperar sua carga maliciosa usando chamadas somente de leitura que não deixam um histórico de transações visível na blockchain, tornando difícil para os investigadores rastrear suas atividades na blockchain. De acordo com o relatório de pesquisa de ameaças, o EtherHiding representa uma "mudança para hospedagem à prova de balas de próxima geração" onde as características mais gritantes da tecnologia blockchain estão sendo usadas por golpistas para fins maliciosos.
Junte-se a uma comunidade premium de negociação de cripto gratuitamente por 30 dias – normalmente $100/mês.
Fonte: https://www.cryptopolitan.com/north-korean-hackers-crypto-stealing-malware/
