據觀察,威脅行為者利用幣安的智能鏈(BSC)合約來提供惡意代碼,這被稱為“下一級別的防彈托管”。
該活動于兩個月前被發現,瓜迪奧實驗室將其代號為EtherHiding 。
這一新穎的轉折標志著正在進行的活動的最新迭代,該活動利用受感染的 WordPress 網站向毫無戒心的訪問者發出虛假警告,要求他們在訪問網站之前更新瀏覽器,最終導致部署信息竊取惡意軟件,例如 Amadey、Lumma 或紅線。
安全研究人員 Nati Tal 和 Oleg Zaytsev表示:“雖然他們最初在被濫用的 Cloudflare Worker 主機上托管代碼的方法被取消,但他們很快就轉向利用區塊鏈的去中心化、匿名和公共性質。”
“這場活動愈演愈烈,而且比以往任何時候都更難被發現和摧毀。”
毫不奇怪,威脅行為者通過惡意插件以WordPress 網站為目標,并利用流行插件中公開披露的安全缺陷來破壞網站。這使得能夠隨意完全劫持受感染的網站。
在最新的一組攻擊中,受感染的站點被注入了混淆的 Javascript,旨在通過使用攻擊者控制的區塊鏈地址創建智能合約來查詢BNB 智能鏈。
目標是獲取第二階段腳本,該腳本反過來從命令和控制 (C2) 服務器檢索第三階段有效負載,以提供欺騙性瀏覽器更新通知。
如果受害者點擊虛假覆蓋層上的更新按鈕,他們就會被重定向到從 Dropbox 或其他合法文件托管服務下載惡意可執行文件。
雖然該地址和相關合約已被標記為用于網絡釣魚計劃,但將其托管在去中心化服務上的后果意味著目前無法干預和破壞攻擊鏈。
“由于這不是一個用于任何金融或其他活動的地址,受害者可能會被引誘將資金或任何其他類型的知識產權轉移到該地址,因此受感染的 WordPress 網站的訪問者不知道幕后發生了什么,”研究人員解釋道。
“這份被標記為虛假、惡意或類似內容的合同仍然在線并傳遞惡意負載。”
隨著插件成為 WordPress 的一個相當大的攻擊面,建議依賴內容管理系統 (CMS) 的用戶遵守安全最佳實踐,并使用最新補丁保持其系統處于最新狀態,刪除不需要的管理員用戶,并強制執行強密碼。
