brève actu
Le groupe nord-coréen UNC5342 exploite EtherHiding pour dissimuler du code malveillant sur Ethereum, menant des vols de cryptomonnaies difficiles à détecter.
Les cyberattaques menées par le groupe UNC5342, soutenu par la Corée du Nord, marquent une nouvelle ère dans l’utilisation de la technologie blockchain pour des fins malveillantes. En intégrant la méthode EtherHiding, ces acteurs parviennent à contourner les efforts de détection traditionnels tout en menant des campagnes de vol de cryptomonnaies. Cette technique innovante, observée pour la première fois par le Google Threat Intelligence Group (GTIG), utilise les transactions sur des blockchains publiques pour stocker et récupérer des charges utiles malveillantes, rendant ainsi les attaques extrêmement résilientes et difficiles à contrer.
EtherHiding : une menace furtive et résiliente
La méthode EtherHiding, apparue en septembre 2023, est au cœur de la campagne CLEARFAKE, où elle est utilisée pour manipuler les utilisateurs à travers de fausses mises à jour de navigateur. En exploitant les blockchains comme Ethereum et BNB Smart Chain, les attaquants intègrent du code malveillant dans des contrats intelligents, transformant ainsi la blockchain en un serveur de commande et de contrôle décentralisé. Selon le Google Cloud Blog, cette approche offre plusieurs avantages aux cybercriminels : elle assure une grande résilience grâce à la nature décentralisée des blockchains, garantit l’anonymat des transactions et empêche la modification du code malveillant une fois déployé. De plus, l’utilisation de fonctions de lecture seule pour récupérer les charges utiles malveillantes évite les frais de transaction et rend les activités des attaquants plus difficiles à tracer.
Le groupe UNC5342 utilise également des tactiques d’ingénierie sociale sophistiquées pour infiltrer les systèmes cibles. Comme le rapporte The Hacker News, ces cybercriminels se font passer pour des recruteurs sur des plateformes professionnelles, ciblant particulièrement les développeurs dans les secteurs de la cryptomonnaie et de la technologie. Ils créent de faux profils et entreprises pour attirer les victimes avec des offres d’emploi attractives. Une fois le contact établi, les victimes sont invitées à participer à des entretiens techniques où elles téléchargent des fichiers contenant du code malveillant. Cette méthode habile permet aux attaquants de dérober des données sensibles et des cryptomonnaies tout en établissant un accès persistant aux réseaux d’entreprise.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
La chaîne d’infection mise en place par le groupe UNC5342 est complexe et multi-étapes. Elle commence par l’utilisation de logiciels malveillants comme JADESNOW pour télécharger et exécuter des charges utiles malveillantes depuis des blockchains. JADESNOW, une famille de logiciels malveillants basée sur JavaScript, utilise EtherHiding pour accéder à des contrats intelligents sur Ethereum et BNB Smart Chain. Par la suite, des logiciels malveillants de deuxième et troisième étapes, tels que BEAVERTAIL et INVISIBLEFERRET, sont déployés pour exfiltrer des données sensibles, notamment des portefeuilles de cryptomonnaies et des informations d’extension de navigateur. Cette approche permet aux attaquants de maintenir un contrôle à long terme sur les systèmes compromis et de poursuivre des activités d’espionnage et de vol de données. En somme, EtherHiding illustre l’évolution continue des menaces cybernétiques, où les technologies émergentes sont détournées pour servir des objectifs malveillants.
Serveurs, API, outils de veille.
DCOD est un projet indépendant sans revenu. L'infra a un coût. Participez aux frais.
