Один из старейших видов мошенничества в мире вредоносного программного обеспечения — взломанные веб-сайты, утверждающие, что посетителям необходимо обновить свой веб-браузер перед тем, как они смогут просматривать контент, — вернулся к жизни в последние несколько месяцев. Новые исследования показывают, что злоумышленники, стоящие за одной из таких схем, разработали изобретательный способ предотвращения блокировки своего вредоносного программного обеспечения экспертами по безопасности или правоохранительными органами: они разместили зловредные файлы на децентрализованной, анонимной криптовалютной блокчейн-сети.
В августе 2023 года исследователь по безопасности Рэнди МакЭойн опубликовал статью о мошенничестве, которое он назвал ClearFake. Это мошенничество использует взломанные сайты на WordPress для отображения посетителям страницы, на которых утверждается, что перед просмотром контента необходимо обновить ваш браузер.
Фальшивые предупреждения о браузере специфичны для используемого вами браузера, поэтому, например, если вы просматриваете веб-сайт с помощью Chrome, вы увидите предложение об обновлении Chrome. Те, кто попадает в ловушку и нажимают кнопку обновления, получают вредоносный файл на своей системе, который пытается установить троян для кражи информации.
Ранее в этом месяце исследователи из израильской компании по безопасности Guardio сообщили, что они выявили обновленную версию мошенничества ClearFake, включившую важное изменение. Ранее группа хранила свои вредоносные файлы обновлений на Cloudflare, сказала компания Guardio.
Однако когда Cloudflare заблокировал эти учетные записи, злоумышленники начали хранить свои вредоносные файлы в виде транзакций криптовалюты в Binance Smart Chain (BSC) - технологии, предназначенной для выполнения децентрализованных приложений и "смарт-контрактов" или закодированных соглашений, которые выполняют действия автоматически при определенных условиях.
Нати Таль, руководитель отдела безопасности в Guardio Labs, исследовательском подразделении Guardio, заявил, что вредоносные сценарии, вшитые в взломанные сайты WordPress, создадут новый смарт-контракт на блокчейне BSC, начиная с уникального адреса, контролируемого атакующим, и набора инструкций, которые определяют функции и структуру контракта. Когда этот контракт запрашивается компрометированным сайтом, он возвращает вредоносную нагрузку.
"Эти контракты предоставляют инновационные способы создания приложений и процессов", - написал Таль вместе с своим коллегой из Guardio, Олегом Зайцевым. "Из-за общедоступной и неизменяемой природы блокчейна код может быть размещен 'on-chain' без возможности его блокировки."
Таль сказал, что хостинг вредоносных файлов в Binance Smart Chain идеален для атакующих, потому что получение вредоносного контракта - это бесплатная операция, изначально предназначенная для отладки проблем выполнения контракта без каких-либо реальных последствий.
"Таким образом, вы получаете бесплатный, ненаблюдаемый и надежный способ получить свои данные (вредоносную нагрузку) без оставления следов", - сказал Таль.
В ответ на вопросы KrebsOnSecurity, Binance Smart Chain (BSC) заявила, что ее команда осведомлена о злоумышленных действиях, злоупотребляющих ее блокчейном, и активно работает над урегулированием проблемы. Компания сообщила, что все адреса, связанные с распространением вредоносного программного обеспечения, были внесены в черный список, и что ее технические специалисты разработали модель для обнаружения будущих смарт-контрактов, использующих аналогичные методы для размещения вредоносных сценариев.
"Эта модель разработана для превентивной идентификации и смягчения потенциальных угроз до того, как они могут нанести ущерб", - написала Binance Smart Chain. "Команда приняла на себя обязательство по непрерывному мониторингу адресов, которые участвуют в распространении вредоносных сценариев на BSC. Для усиления своих усилий техническая команда работает над связью обнаруженных адресов, распространяющих вредоносные сценарии, с централизованной информацией о KYC [Know Your Customer], если это возможно."
Guardio утверждает, что злоумышленники, стоящие за схемой с вредоносным программным обеспечением BSC, используют тот же вредоносный код, что и атакующие, о которых писал МакЭойн в августе, и, вероятно, это одна и та же группа. Однако отчет, опубликованный сегодня электронной почтовой компанией Proofpoint, говорит, что в настоящее время компания отслеживает по крайней мере четыре различные группы угроз, которые используют фальшивые обновления браузера для распространения вредоносного программного обеспечения.
Proofpoint отмечает, что основная группа, стоящая за схемой фальшивых обновлений браузера, использует эту технику для распространения вредоносного программного обеспечения уже пять лет, в первую очередь потому, что подход всё еще хорошо работает.
"Ловушки с фальшивыми обновлениями браузера эффективны, потому что злоумышленники используют обучение по безопасности конечных пользователей против них", написал Dusty Miller из Proofpoint. "В обучении по безопасности говорят пользователям принимать обновления или переходить по ссылкам только с известных и доверенных сайтов или от лиц, и проверять, что сайты являются легитимными. Фальшивые обновления браузера злоупотребляют этим обучением, потому что они компрометируют доверенные сайты и используют запросы JavaScript, чтобы бесшумно провести проверки в фоновом режиме и заменить существующий веб-сайт на обман браузера. Для конечного пользователя это по-прежнему выглядит как тот же веб-сайт, который он собирался посетить, и теперь его просят обновить браузер."
Более десяти лет назад на этом сайте были опубликованы Три правила Безопасности в Интернете от Брайана Кребса, из которых Правило №1 звучало: "Если вы не искали это, не устанавливайте это". Приятно знать, что такой технологически агностический подход к онлайн-безопасности остается таким же актуальным и сегодня.