EtherHiding verschafft Cyberkriminellen Zugang zu Blockchain-Netzwerken, die unempfindlich gegen Abschaltungen sind.

Die Zeiten, in denen Strafverfolgungsbehörden in der Lage waren, aufsehenerregende Aktionen gegen die von den Cyberkriminellen für Cyberangriffe genutzte Infrastruktur durchzuführen, könnten aufgrund von Blockchain-Netzwerken zu Ende sein.

Mit einem als EtherHiding bekannten Ansatz kopieren Cyberkriminelle Syndikate nun eine Methode zur Verbreitung von Malware über Blockchain-Netzwerke, die von einem Hacker im Auftrag Nordkoreas entwickelt wurde. Jetzt verwendet eine ehe finanziell motiviertes Angreifergruppe, die als UNC5142 bekannt ist, dieselbe Technik, um mehr als 14.000 legitime WordPress-Websites in ein Netzwerk zur Verbreitung von Malware zu machen, das möglicherweise unzerstörbar sein könnte.

UNC5142 greift diese Seit4en4 zunächst an, indem es Angriffsseiten über legitime Dienste wie Cloudflare Pages verteilt, um das Vertrauen in erkennbare Infrastrukturen auszunutzen. Häufig verwendete Köder sind gefälschte reCAPTCHA-Bildschirme, Datenschutzvereinbarungen und gefälschte Cloudflare-Fehlermeldungen. Opfer werden durch „ClickFix“-Techniken so manipuliert, dass sie bösartige Befehle ausführen. Die endgültige Nutzlast – Infostealer wie VIDAR, ATOMIC und LUMMAC.V2 – wird als verschlüsselte Daten geliefert, die als harmlose Dateitypen getarnt sind, dann entschlüsselt und vollständig im Speicher ausgeführt werden, um die Entdeckung zu umgehen.

Anschließend wird ein leichter JavaScript-Loader in die kompromittierte Website eingeschleust. Wenn Benutzer die infizierte Seite besuchen, fragt der Loader mithilfe eines schreibgeschützten Funktionsaufrufs einen Smart Contract auf Ethereum oder BNB Smart Chain ab, um sicherzustellen, dass es keinen Transaktionsverlauf gibt. Die abgerufene Nutzlast setzt Infostealer, Ransomware oder gefälschte Authentifizierungsbildschirme ein. Noch schwieriger ist, dass Cyberangreifer ihre Kampagnen variieren können, ohne den ursprünglich in die kompromittierten Webseiten eingeschleusten Code anzurühren.

Langfristige Auswirkungen auf die Bedrohungslandschaft

Es gibt keine Möglichkeit, eines dieser dezentralen Blockchain-Netzwerke zur Befolgung einer gerichtlichen Anordnung zu zwingen. Solange also die Ethereum- oder BNB Smart Chain-Netzwerke funktionieren, wird die Infrastruktur, die zum Start dieser Malware-Angriffe genutzt wird, weiterhin bestehen. Über ein Blockchain-Netzwerk erstellte Smart Contracts können nicht zwischen legitimen Anwendungen und einem Command-and-Control server der zur Verbreitung von Malware verwendet wird, unterscheiden. Es gibt keine Server, die die Strafverfolgungsbehörden identifizieren und im Rahmen einer Razzia abtransportieren können.

Der einzige Weg, diese Angriffe abzuwehren, besteht darin, zu verhindern, dass eine WordPress-Site oder eine ähnliche Web-Applikation-Umgebung überhaupt kompromittiert wird, was mehr Strenge bei der Überprüfung von Seiten und Plug-ins auf Links zu externen Netzwerken erfordert. Die Herausforderung besteht darin, dass die meisten Entwickler dieser Seiten erwartungsgemäß kaum über Sicherheits-Know-how verfügen.

Genauso beunruhigend ist, dass das Durchsuchen der Webseite nach externen Links zu Blockchain-Netzwerken eine gigantische Aufgabe ist, und vielen Organisationen fehlen die Zeit, das Geld und die Ressourcen, um dies zu bewältigen – ein trauriger Umstand, auf den Syndikate wie UNC5142 setzen. Zum jetzigen Zeitpunkt sollten Cybersecurity-Teams davon ausgehen, dass viele weitere kriminelle Syndikate dem Beispiel von EtherHiding und UNC5142 folgen werden.

Cybersecurity war schon immer ein Kampf gegen Windmühlen. Die Veränderung besteht darin, dass die Windmühlen dank der Blockchain nun viel besser in der Lage sind, den Angriffen der Strafverfolgungsbehörden standzuhalten.