Le migliori analisi sul mondo delle criptovalute, direttamente nella tua casella di posta.
Il campo memo Solana viene sfruttato dagli hacker per eseguire malware furtivi
- Gli hacker stanno utilizzando il campo memo di Solanaper eseguire malware furtivi che rubano i dati dei portafogli di criptovalute.
- L'attacco si articola in tre fasi che iniziano con l'installazione di un pacchetto dannoso.
- Il malware prende di mira le estensioni del browser e i portafogli hardware, ed è in grado di rubare i dati del browser.
Gli hacker si stanno allontanando dai server tradizionali e utilizzano sistemi decentralizzati per attaccare gli sviluppatori e rubare i loro fondi in criptovalute. Stanno sostituendo completamente i server di comando e controllo (C2) tradizionali con opzioni decentralizzate.
In questo attacco, il malware sfrutta la blockchain Solana . Utilizza il campo memo delle transazioni Solana per eseguire un malware invisibile che ruba i dati dei portafogli di criptovalute e persino le frasi di recupero dei portafogli hardware.
Il campo memo era stato originariamente progettato per semplici note sulle transazioni, ma ora gli aggressori lo utilizzano come livello di comunicazione nascosto. Questo trasforma una funzionalità pubblica della blockchain in un canale occulto per il controllo del malware.
I promemoria decentralizzati come quelli di Solanasono pubblici e permanenti e non possono essere rimossi da una singola parte. Inoltre, gli aggressori possono aggiornare le istruzioni senza modificare il malware.
La campagna è considerata una nuova versione del malware GlassWorm, attivo almeno dal 2022.
I promemoria Solana fungono da risolutore di punti di incontro segreti
Secondo i ricercatori di sicurezza di Aikido, l'attacco si articola in tre fasi o tre payload. La prima fase/payload rappresenta semplicemente un punto di ingresso. Inizia quando uno sviluppatore installa un pacchetto dannoso da repository open source come npm, PyPI, GitHub o i marketplace di Open VSX.
Il malware verifica quindi se le impostazioni internazionali del sistema sono impostate su russo e, in tal caso, non procede con l'attacco. Questo perché è probabile che gli aggressori si trovino in Russia e non vogliano essere scoperti dalle autorità. Una volta installato, il malware utilizza la blockchain Solana per recuperare l'indirizzo IP del server di comando e controllo (C2) dell'aggressore. Cerca una transazione specifica su Solana che contenga l'indirizzo IP del server C2 nel campo memo.
Il malware si connette quindi al server C2 e avvia la seconda fase dell'attacco. In questa fase, il malware cerca dati crittografici come frasi di recupero, chiavi private e persino screenshot dei portafogli. Prende di mira i portafogli integrati nelle estensioni del browser come MetaMask, Phantom, Coinbase, Exodus, Binance, Ronin, Keplr e altri.
Il malware cerca anche dati del browser come sessioni di accesso, token di sessione e accesso al cloud. Ciò significa che può accedere ad account di scambio centralizzati, npm, GitHub e account AWS.
Dopo aver raccolto i dati, il malware li comprime in un file ZIP e lo invia al server dell'attaccante.
Portafogli hardware presi di mira tramite phishing
L'ultimo payload si divide in due parti. La prima parte è un file binario .NET che cerca portafogli hardware come Ledger e Trezor. Se ne trova uno, mostra un falso messaggio di errore che induce l'utente a inserire la propria frase di recupero.
La seconda parte è un RAT (trojan di accesso remoto) basato su WebSocket e JavaScript che ruba i dati del browser. Installa anche una falsa estensione per Chrome che monitora siti specifici, come ad esempio gli exchange, e ruba i cookie in tempo reale. Viene scaricata tramite un evento di Google Calendar, fungendo da resolver di deaddrop. Questo approccio consente all'attaccante di nascondere il server reale, aggirare i filtri di sicurezza e fungere da livello di distribuzione indiretta.
A differenza della seconda fase, in cui il malware si limita a rubare i dati del browser, questo RAT (Remote Access Trojan) esercita il controllo in tempo reale. Rimane attivo e monitora il browser. Cattura nuovi cookie, tractraccia delle sessioni attive, come ad esempio gli account Exchange a cui si è effettuato l'accesso, registra i tasti premuti e acquisisce screenshot. Inoltre, consente all'attaccante di eseguire comandi sul computer della vittima.
È difficile rimuovere GlassWorm. Il malware è in grado di scaricarsi nuovamente e di sopravvivere ai riavvii. Inoltre, utilizza metodi di fallback come le ricerche DHT (Distributed Hash Table) e i memo Solana per individuare il server di controllo.
Poiché non esiste un server centrale e i dati sono condivisi tra molti computer, per i difensori diventa difficile bloccare l'attacco a livello di rete.
Se stai leggendo questo, sei già un passo avanti. Rimani al passo con i tempi iscrivendoti alla nostra newsletter.
Disclaimer. Le informazioni fornite non costituiscono consulenza di trading. Cryptopolitan/ non si assume alcuna responsabilità per gli investimenti effettuati sulla base delle informazioni fornite in questa pagina. Consigliamotronvivamente di effettuare ricerche indipendentident di consultare un professionista qualificato prima di prendere qualsiasi decisione di investimento.
Randa Moses
Randa Moses è redattrice e reporter presso Cryptopolitan dove si occupa di tecnologia, intelligenza artificiale, robotica, criptovalute, truffe e attacchi hacker. Lavora nel settore delle criptovalute dal 2017 e ha ricoperto ruoli presso Forward Protocol, AmaZix e Cryptosomniac. Randa ha conseguito una laurea in Ingegneria Elettrica edtronpresso l'Università di Bradford.
CORSO
- Quali criptovalute possono farti guadagnare
- Come rafforzare la sicurezza del tuo portafoglio digitale (e quali sono quelli davvero validi)
- Strategie di investimento poco conosciute utilizzate dai professionisti
- Come iniziare a investire in criptovalute (quali piattaforme di scambio utilizzare, le migliori criptovalute da acquistare, ecc.)