Le champ mémo Solana a été utilisé à mauvais escient par des pirates informatiques pour exécuter des logiciels malveillants furtifs

Les pirates informatiques délaissent les serveurs classiques au profit des systèmes décentralisés pour attaquer les développeurs et dérober leurs fonds en cryptomonnaies. Ils remplacent intégralement les serveurs de commande et de contrôle traditionnels par des solutions décentralisées.

Dans cette attaque, le logiciel malveillant exploite la blockchain Solana . Il utilise le champ « mémo » des transactions Solana pour exécuter un logiciel malveillant furtif qui dérobe les données des portefeuilles de cryptomonnaies, voire les phrases de récupération des portefeuilles matériels.

Le champ « mémo » était initialement conçu pour de simples notes de transaction, mais les attaquants l'utilisent désormais comme une couche de communication cachée. Ceci transforme une fonctionnalité publique de la blockchain en un canal clandestin pour le contrôle de logiciels malveillants.

Les notes décentralisées comme celles de Solanasont publiques et permanentes ; aucune entité ne peut les supprimer. De plus, les attaquants peuvent modifier les instructions sans changer le logiciel malveillant.

Cette campagne est considérée comme une nouvelle version du logiciel malveillant GlassWorm, actif depuis au moins 2022.

Les mémos Solana servent de résolveur de boîtes aux lettres mortes

D'après les chercheurs en sécurité d'Aikido, l'attaque se déroule en trois étapes, ou avec trois charges utiles. La première étape constitue un point d'entrée. Elle débute lorsqu'un développeur installe un paquet malveillant depuis des plateformes open source telles que npm, PyPI, GitHub ou les places de marché Open VSX.

Le logiciel malveillant vérifie ensuite si les paramètres régionaux du système sont russes et, le cas échéant, il n'effectue pas l'attaque. En effet, les attaquants sont probablement basés en Russie et cherchent à éviter d'être appréhendés par les autorités. Une fois installé, le logiciel malveillant utilise la blockchain Solana pour récupérer l'adresse IP du serveur de commande et de contrôle (C2) de l'attaquant. Il recherche une transaction spécifique sur Solana contenant l'adresse IP du serveur C2 dans le champ « mémo ».

Le logiciel malveillant se connecte ensuite au serveur C2 et lance la seconde phase de l'attaque. Durant cette phase, il recherche des données cryptographiques telles que les phrases de récupération, les clés privées et même des captures d'écran de portefeuilles. Il cible les portefeuilles intégrés aux navigateurs comme MetaMask, Phantom, Coinbase, Exodus, Binance, Ronin, Keplr, et bien d'autres.

Le logiciel malveillant recherche également des données de navigation telles que les sessions de connexion, les jetons de session et l'accès au cloud. Il peut ainsi accéder aux comptes des plateformes d'échange centralisées, ainsi qu'aux comptes npm, GitHub et AWS.

Après avoir collecté les données, le logiciel malveillant les compresse dans un fichier ZIP et l'envoie au serveur de l'attaquant.

Portefeuilles matériels ciblés par hameçonnage

La dernière charge utile se divise en deux parties. La première est un fichier binaire .NET qui recherche les portefeuilles matériels tels que Ledger et Trezor. S'il en trouve un, il affiche un faux message d'erreur incitant l'utilisateur à saisir sa phrase de récupération.

La seconde partie est un cheval de Troie d'accès à distance (RAT) JavaScript basé sur WebSocket qui vole les données du navigateur. Elle installe également une fausse extension Chrome qui surveille certains sites, comme les plateformes d'échange, et récupère les cookies en temps réel. Elle est téléchargée via un événement Google Agenda, servant de résolveur de boîte de dépôt morte. Cette méthode permet à l'attaquant de masquer le véritable serveur, de contourner les filtres de sécurité et agit comme une couche de distribution indirecte.

Contrairement à la seconde étape, où le logiciel malveillant se contente de voler des données de navigation, ce RAT exerce un contrôle permanent. Il reste actif et surveille le navigateur. Il capture les nouveaux cookies, tracles sessions actives (comme les comptes Exchange connectés), enregistre les frappes au clavier et prend des captures d'écran. De plus, il permet à l'attaquant d'exécuter des commandes sur la machine de la victime.

GlassWorm est difficile à supprimer. Ce logiciel malveillant peut se réinstaller automatiquement et survivre aux redémarrages. Il utilise également des méthodes de repli comme les requêtes DHT (Distributed Hash Table) et les mémos Solana pour localiser le serveur de contrôle.

Comme il n'y a pas de serveur central et que les données sont partagées entre de nombreux ordinateurs, il devient difficile pour les défenseurs de bloquer l'attaque au niveau du réseau.