Gli hacker nordcoreani stanno ora utilizzando un metodo basato su blockchain noto come EtherHiding per distribuire malware e facilitare le loro operazioni di furto ditrac. Secondo gli esperti, un hacker nordcoreano è stato scoperto utilizzando questo metodo, in cui gli aggressori incorporano codici come payload JavaScript all'interno di uno smart contract basato su blockchain.
Utilizzando questo metodo, gli hacker trasformano il registro decentralizzato in un sistema di comando e controllo (C2) resiliente. Secondo un post pubblicato sul blog di Google Threat Intelligence Group (GTIG), questa è la prima volta che un autore di queste dimensioni utilizza questo metodo. Il gruppo ha affermato che l'utilizzo di EtherHiding è conveniente rispetto ai tradizionali sforzi di rimozione e blocco. Il gruppo di intelligence sulle minacce ha affermato di aver tracl'autore della minaccia UNC5342 da febbraio 2025, integrando EtherHiding in una campagna di ingegneria sociale in corso.
Gli hacker nordcoreani si affidano a EtherHiding
Google ha affermato di aver collegato l'utilizzo di EtherHiding a una campagna di ingegneria sociale tracda Palo Alto Networks con il nome di Contagious Interview. Contagious Interview è stata condotta da soggetti nordcoreani. Secondo i ricercatori di Socket, il gruppo ha ampliato le proprie operazioni con un nuovo loader di malware, XORIndex. Il loader ha accumulato migliaia di download, prendendo di mira persone in cerca di lavoro e individui ritenuti in possesso di beni digitali o credenzialident.
nordcoreani hacker utilizzano il malware JADESNOW per distribuire una variante JavaScript di INVISIBLEFERRET, già utilizzato per compiere numerosi furti di criptovalute. La campagna prende di mira gli sviluppatori nei settori delle criptovalute e della tecnologia, rubando dati sensibili, risorse digitali e ottenendo l'accesso alle reti aziendali. Si basa inoltre su una tattica di ingegneria sociale che copia i processi di reclutamento legittimi utilizzando falsi reclutatori e aziende inventate.
Falsi reclutatori vengono utilizzati per attirare i candidati su piattaforme come Telegram o Discord. Successivamente, il malware viene diffuso nei loro sistemi e dispositivi tramite falsi test di codifica o download di software camuffati da valutazioni tecniche o soluzioni per i colloqui. La campagna utilizza un processo di infezione malware in più fasi, che di solito coinvolge malware come JADESNOW, INVISIBLEFERRET e BEAVERTAIL, per compromettere i dispositivi della vittima. Il malware colpisce i sistemi Windows, Linux e macOS.
I ricercatori descrivono nel dettaglio gli svantaggi di EtherHiding
EtherHiding offre un vantaggio significativo agli aggressori, e il GTIG sottolinea come rappresenti una minaccia particolarmente difficile da contrastare. Un elemento fondamentale di EtherHiding che desta preoccupazione è la sua natura decentralizzata. Ciò significa che i dati vengono archiviati su una blockchain decentralizzata e senza permessi, rendendo difficile per le forze dell'ordine o le aziende di sicurezza informatica neutralizzarla, poiché non dispone di un server centrale. Anche l'identitàdenttractrac tractractractrac tractraca causa della natura pseudonima delle blockchain .
È anche difficile rimuovere il codice dannoso negli smarttracdistribuiti sulla blockchain se non si è il proprietario deltrac. L'attaccante che ha il controllo dello smarttrac, in questo caso gli hacker nordcoreani, può anche scegliere di aggiornare il payload dannoso in qualsiasi momento. Sebbene i ricercatori di sicurezza possano provare ad avvisare la comunità di untracdannoso taggandolo, ciò non impedisce agli hacker di svolgere le loro attività dannose utilizzando lo smarttrac.
Inoltre, gli aggressori possono recuperare il loro payload dannoso utilizzando chiamate di sola lettura che non lasciano una cronologia delle transazioni visibile sulla blockchain, rendendo difficile per i ricercatori tracle loro attività sulla blockchain. Secondo il rapporto di ricerca sulle minacce, EtherHiding rappresenta un "passaggio verso l'hosting bulletproof di nuova generazione", in cui le caratteristiche più evidenti della tecnologia blockchain vengono utilizzate dai truffatori per scopi dannosi.
