Codes vérolés sur la blockchain : la nouvelle arme crypto des hackers

Une nouvelle menace sur la blockchain – L’écosystème crypto est une proie de choix pour les hackers. Ces derniers redoublent d’ingéniosité pour vous conduire à la faute et dérober vos précieuses cryptomonnaies. EtherHiding, la dernière méthode découverte par Guardio est un nouveau vecteur d’attaque qui se démocratise. Explications.

EtherHiding : dissimuler du code malveillant dans des smart contracts

Guardio est une entreprise spécialisée dans la protection des données utilisateurs sur internet. Le 13 octobre, les équipes de Guardio ont publié un rapport sur un nouveau vecteur d’attaque intitulé EtherHiding, alliant Web2 et Web3.

« EtherHiding présente une nouvelle façon de servir des codes malveillants en utilisant les contrats Smart Chain de Binance pour héberger des parties d’une chaîne de codes malveillants dans ce qui est le niveau suivant d’hébergement à l’épreuve des balles. »

À l’origine, Guardio enquêtait sur la propagation d’une nouvelle campagne de malware de type « fake-update ». En pratique, cette méthode repose sur des sites internet compromis, principalement hébergés sur WordPress.

Ces sites compromis vont alors afficher à l’utilisateur une pop-up, les invitant à mettre à jour leur navigateur pour accéder au site. Vous l’aurez compris, cette « mise à jour » n’est autre qu’un logiciel malveillant.

« Cette campagne, baptisée « ClearFake » et identifiée par Randy McEoin, commence son attaque sur des sites WordPress compromis où les attaquants intègrent un code JS dissimulé. Ce code initial (…) est injecté dans les pages d’articles et récupère une charge utile sur un serveur contrôlé par les attaquants. »

>> Cette affaire vous angoisse ? Détendez vous avec OVAL3 (lien commercial) <<

Les smart contracts comme source de donnée

En explorant un peu plus cette campagne, les chercheurs de Guardio ont identifié plusieurs références aux serveurs de Binance. Ils se sont alors questionnés sur le lien entre ces attaques et les serveurs de Binance ?

En y regardant de plus près, ils se sont aperçus que le code malveillant sur les sites WordPress compromis exécutait du code Javascript.

En pratique, ce code va appeler la blockchain BNB Chain. Celui-ci va ensuite créer un nouveau smart contrat sur la BNB Chain. Ce contrat dispose d’une fonction get(), qui va retourner une charge utile (payload) qui sera ensuite décodée et évaluée en tant que code JavaScript à l’aide de la fonction eval(). Cette charge utile n’est autre que les données nécessaires au bon fonctionnement du malware.

Mais alors, pourquoi toute cette ingénierie ? Eh bien, c’est relativement simple. Plutôt que de stocker la charge utile de son malware sur un serveur centralisé, le hacker a préféré stocker la charge utile sur une blockchain. Par conséquent, les données sont toujours accessibles et même gratuitement grâce à la méthode eth_call() qui permet de lire les données d’un smart contrat sans payer de gas.

« Vous disposez donc d’un moyen gratuit, non tracé et robuste d’obtenir vos données (la charge utile malveillante) sans laisser de traces. »

Malheureusement, il n’existe que peu de moyens pour lutter contre ce nouveau vecteur d’attaque. Néanmoins, BSCScan a tout de même ajouté des flags permettant d’alerter les utilisateurs que ces adresses sont liées à des attaques phishing.

À la fin du mois de juillet dernier, ce sont les anciens utilisateurs de FTX qui ont été ciblé par une attaque phishing. Suite au hack de la plateforme de réclamation, les mails de phishing se sont multipliés.

Besoin de décompresser face aux hacks ? Découvrez le rugby fantasy et les cartes NFT d’OVAL3. Composez votre équipe et mesurez-vous aux joueurs du monde entier pour des récompenses bien réelles. Prêts à chausser les crampons du Web3 ? (Lien commercial)