Cyberthreat.id - Pelaku ancaman telah diamati menyajikan kode berbahaya dengan memanfaatkan kontrak Binance’s Smart Chain (BSC) dalam apa yang digambarkan sebagai "hosting antipeluru tingkat berikutnya".

“Kampanye tersebut, yang terdeteksi dua bulan lalu, telah diberi nama kode EtherHiding oleh Guardio Labs,” demikian The Hacker News melaporkan.

Perubahan baru ini menandai iterasi terbaru dalam kampanye malware yang sedang berlangsung yang memanfaatkan situs WordPress yang telah disusupi untuk memberikan peringatan palsu kepada pengunjung yang tidak menaruh curiga untuk memperbarui browser mereka sebelum situs dapat diakses, yang pada akhirnya mengarah pada penyebaran malware pencuri informasi seperti Amadey, Lumma, atau RedLine.

“Meski metode awal mereka menghosting kode pada host Cloudflare Worker yang disalahgunakan telah dihapus, mereka dengan cepat beralih untuk memanfaatkan sifat blockchain yang terdesentralisasi, anonim, dan publik,” kata peneliti keamanan Nati Tal dan Oleg Zaytsev.

“Kampanye ini semakin meningkat dan semakin sulit untuk dideteksi dan dihilangkan.”

Tidak mengherankan jika pelaku ancaman menargetkan situs WordPress melalui kedua plugin berbahaya tersebut, serta memanfaatkan kelemahan keamanan yang diungkapkan secara publik pada plugin populer untuk membobol situs web. Hal ini memberikan kemampuan untuk sepenuhnya membajak situs web yang terinfeksi sesuka hati.

Dalam rangkaian serangan terbaru, situs yang terinfeksi disuntik dengan Javascript yang dikaburkan yang dirancang untuk menanyakan BNB Smart Chain dengan membuat kontrak pintar dengan alamat blockchain yang dikendalikan penyerang.

Tujuannya adalah untuk mengambil skrip tahap kedua yang, pada gilirannya, mengambil payload tahap ketiga dari server perintah-dan-kontrol (C2) untuk menyajikan pemberitahuan pembaruan browser yang menipu.

Jika korban mengeklik tombol perbarui pada hamparan palsu, mereka akan diarahkan untuk mengunduh file berbahaya yang dapat dieksekusi dari Dropbox atau layanan hosting file sah lainnya.

Meskipun alamat dan kontrak terkait telah ditandai sebagai digunakan dalam skema phishing, konsekuensi jika alamat tersebut dihosting di layanan terdesentralisasi berarti saat ini tidak ada cara untuk melakukan intervensi dan mengganggu rantai serangan.

"Karena ini bukan alamat yang digunakan dalam aktivitas keuangan atau aktivitas lain apa pun, korban dapat dibujuk untuk mentransfer dana atau jenis kekayaan intelektual lainnya — pengunjung situs WordPress yang disusupi tidak tahu apa yang sedang terjadi," jelas para peneliti kepada The Hacker News.

"Kontrak ini, yang ditandai sebagai palsu, berbahaya, atau yang lainnya, masih online dan mengirimkan muatan berbahaya."

Sekoia, yang menerbitkan rincian tambahan tentang kampanye yang lebih luas yang dijuluki ClearFake, menggambarkannya sebagai "kerangka kerja JavaScript yang diterapkan pada situs web yang disusupi untuk mengirimkan malware lebih lanjut menggunakan teknik pengunduhan drive-by."

Rantai serangan tersebut, menurut perusahaan keamanan siber Perancis, telah diamati mengarah pada penyebaran pemuat malware yang disebut sebagai IDAT Loader dan HijackLoader, yang bertindak sebagai landasan bagi beberapa pencuri komoditas dan trojan seperti DanaBot, Lumma, Raccoon, RedLine, Remcos, SystemBC, dan Vidar.

“Berdasarkan kesamaan kode antara IDAT Loader dan HijackLoader, dan mengingat tumpang tindih dalam infrastruktur C2, [...] kelompok ancaman yang sama mengoperasikan kedua loader tersebut,” katanya, mencatat bahwa ada tumpang tindih taktis ClearFake dan SocGholish, sehingga meningkatkan kemungkinan bahwa dua keluarga malware kemungkinan besar dikelola oleh satu aktor.

SocGholish, juga disebut FakeUpdates, mengacu pada ancaman terus-menerus yang melibatkan menipu pengguna agar mengunduh malware berbasis JavaScript dengan kedok pembaruan browser web.

Dengan plugin yang menjadi permukaan serangan yang cukup besar untuk WordPress, disarankan agar pengguna yang mengandalkan sistem manajemen konten (CMS) mematuhi praktik terbaik keamanan dan selalu memperbarui sistem mereka dengan patch terbaru, menghapus pengguna admin yang tidak diinginkan, dan menerapkan sistem kata sandi yang kuat.[]