Ένα από τα παλαιότερα τεχνάσματα κακόβουλου λογισμικού - οι παραβιασμένοι ιστότοποι που ισχυρίζονται ότι οι επισκέπτες πρέπει να ενημερώσουν το πρόγραμμα περιήγησής τους για να μπορέσουν να δουν οποιοδήποτε περιεχόμενο - επανήλθε στην επικαιρότητα τους τελευταίους μήνες. Η νέα έρευνα δείχνει ότι οι επιτιθέμενοι πίσω από ένα τέτοιο σύστημα έχουν αναπτύξει έναν έξυπνο τρόπο για να μην μπορούν οι ειδικοί ασφαλείας ή οι αρχές επιβολής του νόμου να καταρρίψουν το κακόβουλο λογισμικό τους: Φιλοξενώντας τα κακόβουλα αρχεία σε μια αποκεντρωμένη, ανώνυμη αλυσίδα μπλοκ με κρυπτονομίσματα.
Τον Αύγουστο του 2023, ο ερευνητής ασφαλείας Randy McEoin έγραψε σε ιστολόγιο για μια απάτη που ονόμασε ClearFake, η οποία χρησιμοποιεί παραβιασμένους ιστότοπους WordPress για να εμφανίσει στους επισκέπτες μια σελίδα που ισχυρίζεται ότι πρέπει να ενημερώσετε το πρόγραμμα περιήγησής σας για να μπορέσετε να δείτε το περιεχόμενο
Νωρίτερα αυτό το μήνα, ερευνητές της εταιρείας ασφαλείας Guardio με έδρα το Τελ Αβίβ δήλωσαν ότι εντόπισαν μια ενημερωμένη έκδοση της απάτης ClearFake που περιλάμβανε μια σημαντική εξέλιξη. Προηγουμένως, η ομάδα είχε αποθηκεύσει τα κακόβουλα αρχεία ενημέρωσης στο Cloudflare. Αλλά όταν η Cloudflare μπλόκαρε αυτούς τους λογαριασμούς, οι επιτιθέμενοι άρχισαν να αποθηκεύουν τα κακόβουλα αρχεία τους ως συναλλαγές κρυπτονομισμάτων στην έξυπνη αλυσίδα Binance (BSC), μια τεχνολογία που έχει σχεδιαστεί για την εκτέλεση αποκεντρωμένων εφαρμογών και "έξυπνων συμβολαίων" ή κωδικοποιημένων συμφωνιών που εκτελούν ενέργειες αυτόματα όταν πληρούνται ορισμένες προϋποθέσεις.
Ο Nati Tal, επικεφαλής ασφάλειας της Guardio Labs, της ερευνητικής μονάδας της Guardio, δήλωσε ότι τα κακόβουλα σενάρια που έχουν συρραφεί σε χακαρισμένους ιστότοπους WordPress θα δημιουργήσουν ένα νέο έξυπνο συμβόλαιο στην αλυσίδα μπλοκ BSC, ξεκινώντας με μια μοναδική, ελεγχόμενη από τον επιτιθέμενο διεύθυνση blockchain και ένα σύνολο οδηγιών που καθορίζει τις λειτουργίες και τη δομή του συμβολαίου. Όταν το εν λόγω συμβόλαιο ερωτηθεί από έναν παραβιασμένο ιστότοπο, θα επιστρέψει ένα κακόβουλο αρχείο.
"Αυτά τα συμβόλαια προσφέρουν καινοτόμους τρόπους για τη δημιουργία εφαρμογών και διαδικασιών", έγραψε ο Tal μαζί με τον συνάδελφό του στην Guardio, Oleg Zaytsev. "Λόγω της δημόσια προσβάσιμης και αμετάβλητης φύσης της αλυσίδας μπλοκ, ο κώδικας μπορεί να φιλοξενηθεί "στην αλυσίδα" χωρίς τη δυνατότητα κατάργησης".
Ο Tal δήλωσε ότι η φιλοξενία κακόβουλων αρχείων στην έξυπνη αλυσίδα Binance είναι ιδανική για τους επιτιθέμενους, επειδή η ανάκτηση ενός (κακόβουλου στη περίπτωσή μας) συμβολαίου είναι μια λειτουργία χωρίς κόστος που αρχικά σχεδιάστηκε για τον σκοπό της αποσφαλμάτωσης προβλημάτων εκτέλεσης συμβολαίων χωρίς αντίκτυπο στον πραγματικό κόσμο.
"Έτσι, έχετε έναν δωρεάν, μη ανιχνεύσιμο και ισχυρό τρόπο για να αποκτήσετε τα δεδομένα σας (το κακόβουλο ωφέλιμο φορτίο) χωρίς να αφήσετε ίχνη", δήλωσε ο Tal.
Σε απάντηση σε ερωτήσεις του KrebsOnSecurity, η BNB Smart Chain (BSC) δήλωσε ότι η ομάδα της γνωρίζει ότι το κακόβουλο λογισμικό κάνει κατάχρηση της αλυσίδας μπλοκ και αντιμετωπίζει ενεργά το ζήτημα. Η εταιρεία δήλωσε ότι όλες οι διευθύνσεις που σχετίζονται με την εξάπλωση του κακόβουλου λογισμικού έχουν μπει σε μαύρη λίστα και ότι οι τεχνικοί της έχουν αναπτύξει ένα μοντέλο για τον εντοπισμό μελλοντικών έξυπνων συμβολαίων που χρησιμοποιούν παρόμοιες μεθόδους για τη φιλοξενία κακόβουλων σεναρίων.
"Αυτό το μοντέλο έχει σχεδιαστεί για τον προληπτικό εντοπισμό και τον μετριασμό πιθανών απειλών πριν προκαλέσουν ζημιά", έγραψε η BNB Smart Chain. "Η ομάδα δεσμεύεται για τη συνεχή παρακολούθηση των διευθύνσεων που εμπλέκονται στη διάδοση σεναρίων κακόβουλου λογισμικού στο BSC. Για να ενισχύσει τις προσπάθειές της, η τεχνική ομάδα εργάζεται για τη σύνδεση των εντοπισμένων διευθύνσεων που διαδίδουν κακόβουλα σενάρια με κεντρικές πληροφορίες KYC [Know Your Customer], όταν αυτό είναι δυνατό".
Ο Guardio λέει ότι οι απατεώνες πίσω από το σύστημα κακόβουλου λογισμικού BSC χρησιμοποιούν τον ίδιο κακόβουλο κώδικα με τους επιτιθέμενους για τους οποίους έγραψε ο McEoin τον Αύγουστο και πιθανότατα πρόκειται για την ίδια ομάδα. Όμως, μια έκθεση που δημοσιεύθηκε σήμερα από την εταιρεία ασφάλειας ηλεκτρονικού ταχυδρομείου Proofpoint αναφέρει ότι η εταιρεία παρακολουθεί επί του παρόντος τουλάχιστον τέσσερις διαφορετικές ομάδες απειλών που χρησιμοποιούν ψεύτικες ενημερώσεις του προγράμματος περιήγησης για τη διανομή κακόβουλου λογισμικού.
Η Proofpoint σημειώνει ότι η βασική ομάδα που βρίσκεται πίσω από το σύστημα ψεύτικων ενημερώσεων του προγράμματος περιήγησης χρησιμοποιεί αυτή την τεχνική για τη διάδοση κακόβουλου λογισμικού τα τελευταία πέντε χρόνια, κυρίως επειδή η προσέγγιση εξακολουθεί να λειτουργεί καλά. "Τα δέλεαρ των ψεύτικων ενημερώσεων του προγράμματος περιήγησης είναι αποτελεσματικά επειδή οι απειλητικοί παράγοντες χρησιμοποιούν την εκπαίδευση ενός τελικού χρήστη σε θέματα ασφάλειας εναντίον τους", έγραψε ο Dusty Miller της Proofpoint. "Στην εκπαίδευση ευαισθητοποίησης σε θέματα ασφάλειας, οι χρήστες ενημερώνονται να αποδέχονται μόνο ενημερώσεις ή να κάνουν κλικ σε συνδέσμους από γνωστούς και αξιόπιστους ιστότοπους ή άτομα και να επαληθεύουν ότι οι ιστότοποι είναι νόμιμοι. Οι ψεύτικες ενημερώσεις του προγράμματος περιήγησης κάνουν κατάχρηση αυτής της εκπαίδευσης, επειδή θέτουν σε κίνδυνο αξιόπιστες τοποθεσίες και χρησιμοποιούν αιτήματα JavaScript για να κάνουν αθόρυβα ελέγχους στο παρασκήνιο και να αντικαταστήσουν την υπάρχουσα ιστοσελίδα με ένα δέλεαρ ενημέρωσης του προγράμματος περιήγησης. Για τον τελικό χρήστη, εξακολουθεί να φαίνεται ότι είναι ο ίδιος ιστότοπος που σκόπευε να επισκεφθεί και τώρα του ζητάει να ενημερώσει το πρόγραμμα περιήγησής του".
Πριν από περισσότερο από μια δεκαετία, ο ιστότοπος krebsonsecurity.com, δημοσίευσε τους Τρεις Κανόνες του Krebs για την ασφάλεια στο διαδίκτυο, εκ των οποίων ο Κανόνας 1 ήταν: "Αν δεν πήγες να το ψάξεις, μην το εγκαταστήσεις". Είναι ωραίο να γνωρίζουμε ότι αυτή η τεχνολογικά αδιάφορη προσέγγιση για την ασφάλεια στο διαδίκτυο παραμένει το ίδιο επίκαιρη και σήμερα.
Πηγή
Freegr network blog- News about pc, technology.
freegr
