blockchain

แฮ็ค 'EtherHiding' ใช้ Binance blockchain เพื่อขู่กรรโชกผู้ใช้ WordPress

7 เดือนที่ผ่านมา
ข่าว Bitcoin Ethereum

นักวิจัยที่ Guardio Labs ได้ค้นพบการโจมตีใหม่ที่เรียกว่า 'EtherHiding' ซึ่งใช้ Binance Smart Chain และ Bullet-Proof Hosting เพื่อให้บริการโค้ดที่เป็นอันตรายภายในเว็บเบราว์เซอร์ของเหยื่อ

แตกต่างจากชุดแฮ็กอัพเดตปลอมก่อนหน้านี้ที่ใช้ประโยชน์จาก WordPress ตัวแปรนี้ใช้เครื่องมือใหม่: บล็อกเชนของ Binance. ก่อนหน้านี้ รูปแบบที่ไม่ใช่บล็อคเชนได้ขัดขวางการเข้าชมหน้าเว็บด้วยข้อความแจ้งเตือน 'อัปเดต' ที่ดูสมจริงเหมือนเบราว์เซอร์ การคลิกเมาส์ของเหยื่อถูกติดตั้งมัลแวร์

เนื่องจาก Binance Smart Chain มีราคาถูก รวดเร็ว และควบคุมโปรแกรมได้ไม่ดี แฮกเกอร์จึงสามารถรับภาระโค้ดที่ทำลายล้างได้โดยตรงจากบล็อกเชนนี้

เพื่อให้ชัดเจน นี่ไม่ใช่การโจมตี MetaMask แฮกเกอร์เพียงให้บริการโค้ดที่เป็นอันตรายภายในเว็บเบราว์เซอร์ของเหยื่อที่ดูเหมือนหน้าเว็บใดๆ ที่แฮ็กเกอร์ต้องการสร้าง ซึ่งโฮสต์และให้บริการในลักษณะที่ไม่มีใครหยุดยั้งได้ การใช้บล็อกเชนของ Binance เพื่อรองรับโค้ด แฮกเกอร์โจมตีเหยื่อด้วยกลโกงการขู่กรรโชกต่างๆ อย่างแท้จริง, EtherHiding ยังกำหนดเป้าหมายไปที่เหยื่อโดยไม่มีการถือครอง crypto อีกด้วย.

อ่านเพิ่มเติม: รอยเตอร์สบอกเป็นนัยถึง 'ความลับดำมืด' ที่เกี่ยวข้องกับ Binance และทุนสำรอง

การแย่งชิงเบราว์เซอร์เพื่อขโมยข้อมูลของคุณ

ภายในไม่กี่เดือนที่ผ่านมา การอัปเดตเบราว์เซอร์ปลอมได้แพร่ขยายออกไป ผู้ใช้อินเทอร์เน็ตที่ไม่สงสัยจะพบกับเว็บไซต์ที่น่าเชื่อและถูกบุกรุกอย่างเป็นความลับ พวกเขาเห็นการอัปเดตเบราว์เซอร์ที่หลอกลวง และคลิก 'อัปเดต' โดยไม่ได้ตั้งใจ แฮกเกอร์จะติดตั้งมัลแวร์เช่น RedLine, Amadey หรือ Lumma ทันที มัลแวร์ประเภทนี้หรือที่เรียกว่า 'ข้อมูลขโมยข้อมูล' มักจะซ่อนตัวผ่านการโจมตีของโทรจันที่มีลักษณะผิวเผินของซอฟต์แวร์ที่ถูกกฎหมาย

เวอร์ชัน EtherHiding ของการโจมตีอัปเดตบน WordPress เหล่านี้ ใช้ตัวขโมยข้อมูลที่ทรงพลังกว่า ClearFake. การใช้ ClearFake ทำให้ EtherHiding แทรกโค้ด JS ลงในคอมพิวเตอร์ของผู้ใช้ที่ไม่สงสัย

ใน ClearFake เวอร์ชันก่อนหน้า บางโค้ดอาศัยเซิร์ฟเวอร์ CloudFlare CloudFlare ตรวจพบและกำจัดโค้ดที่เป็นอันตราย ซึ่งทำให้ฟังก์ชันการทำงานบางอย่างของการโจมตี ClearFake เสียหาย

น่าเสียดายที่ผู้โจมตีได้เรียนรู้วิธีหลบเลี่ยงโฮสต์ที่คำนึงถึงความปลอดภัยทางไซเบอร์อย่าง CloudFlare พวกเขาพบโฮสต์ที่สมบูรณ์แบบใน Binance

การโจมตี EtherHiding โดดเด่น เปลี่ยนเส้นทางการรับส่งข้อมูลไปยังเซิร์ฟเวอร์ Binance. ใช้รหัส Base64 ที่สร้างความสับสนซึ่งค้นหา Binance Smart Chain (BSC) และเริ่มต้นสัญญา BSC ด้วยที่อยู่ที่ควบคุมโดยผู้โจมตี โดยเฉพาะอย่างยิ่งเรียกชุดพัฒนาซอฟต์แวร์ (SDK) บางตัว เช่น eth_call ของ Binance ซึ่งจำลองการดำเนินการตามสัญญาและสามารถใช้เพื่อเรียกโค้ดที่เป็นอันตรายได้ 

ตามที่นักวิจัยของ Guardio Labs ร้องขอในโพสต์ขนาดกลาง Binance สามารถบรรเทาการโจมตีนี้ได้โดยการปิดการใช้งานการสืบค้นไปยังที่อยู่ที่ถูกตั้งค่าสถานะว่าเป็นอันตราย หรือปิดการใช้งาน eth_call SDK

ในส่วนของ Binance ได้ตั้งค่าสถานะสัญญาอัจฉริยะ ClearFake บางส่วนว่าเป็นอันตรายใน BSCScan ซึ่งเป็น Binance Smart Chain explorer ที่โดดเด่น ที่นี่จะเตือนนักสำรวจบล็อคเชนว่าที่อยู่ของผู้โจมตีเป็นส่วนหนึ่งของการโจมตีแบบฟิชชิ่ง

อย่างไรก็ตาม ข้อมูลดังกล่าวให้ข้อมูลที่เป็นประโยชน์เพียงเล็กน้อยเกี่ยวกับรูปแบบของการโจมตี โดยเฉพาะ BSCScan ไม่แสดงคำเตือนไปยังเหยื่อที่เกิดขึ้นจริงเมื่อมีการแฮ็กเกิดขึ้น: ภายในเว็บเบราว์เซอร์

เคล็ดลับเว็บเบราว์เซอร์เพื่อหลีกเลี่ยง EtherHiding

WordPress มีชื่อเสียงในการเป็นเป้าหมายของผู้โจมตี โดยหนึ่งในสี่ของเว็บไซต์ทั้งหมดที่ใช้แพลตฟอร์มนี้

  • น่าเสียดายที่เว็บไซต์ WordPress ประมาณหนึ่งในห้ายังไม่ได้อัปเกรดเป็นเวอร์ชันล่าสุด ซึ่งทำให้นักเล่นอินเทอร์เน็ตเสี่ยงต่อมัลแวร์เช่น EtherHiding
  • ผู้ดูแลไซต์ควรใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่ง เช่น การรักษาข้อมูลรับรองการเข้าสู่ระบบให้ปลอดภัย การลบปลั๊กอินที่ถูกบุกรุก การรักษาความปลอดภัยรหัสผ่าน และการจำกัดการเข้าถึงของผู้ดูแลระบบ
  • ผู้ดูแลระบบ WordPress ควรอัปเกรด WordPress และปลั๊กอินทุกวัน และหลีกเลี่ยงการใช้ปลั๊กอินที่มีช่องโหว่
  • ผู้ดูแลระบบ WordPress ควรหลีกเลี่ยงการใช้ 'admin' เป็นชื่อผู้ใช้สำหรับบัญชีผู้ดูแลระบบ WordPress ของตน

ยิ่งไปกว่านั้น การโจมตี EtherHiding/ClearFake ยังบล็อกได้ยาก ผู้ใช้อินเทอร์เน็ตควรระวังการแจ้งเตือน 'เบราว์เซอร์ของคุณต้องอัปเดต' ที่ไม่คาดคิด โดยเฉพาะอย่างยิ่งเมื่อเยี่ยมชมเว็บไซต์ที่ใช้ WordPress ผู้ใช้ควรอัปเดตเบราว์เซอร์ของตนจากพื้นที่การตั้งค่าของเบราว์เซอร์เท่านั้น — ไม่ใช่โดยการคลิกปุ่มภายในเว็บไซต์ ไม่ว่ามันจะดูสมจริงแค่ไหนก็ตาม

มีเคล็ดลับ? ส่งอีเมลถึงเราหรือ ProtonMail ติดตามข่าวสารเพิ่มเติมได้ที่ X, Instagram, Blueskyและ Google Newsหรือสมัครเป็นสมาชิกของเรา YouTube ช่อง

ที่มา: https://protos.com/etherhiding-hack-uses-binance-blockchain-to-extort-wordpress-users/