Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

По сообщению Google Threat Intelligence Group (GTIG) от 17 октября, хакеры начали использовать технику EtherHiding, которая позволяет размещать и доставлять вредоносное ПО через смарт-контракты. Такой метод применяется для кражи криптовалют в процессе атак с элементами социальной инженерии.

По данным аналитиков, за этой активностью стоит северокорейская группа, известная как UNC5342, которая с февраля использует EtherHiding в рамках операций под названием Contagious Interview.

EtherHiding — это способ распространения вредоносных программ, при котором данные встраиваются в смарт-контракты, размещенные в публичных блокчейнах вроде Ethereum.

Благодаря особенностям блокчейна, EtherHiding обеспечивает:

Смарт-контракт содержит загрузчик JADESNOW, который взаимодействует с Ethereum и запускает второй этап атаки — JavaScript-вредонос InvisibleFerret, обычно применяемый для долгосрочного шпионажа.

Атаки обычно начинаются с ложных собеседований в фиктивных компаниях — типичной тактики северокорейских хакеров. Жертву убеждают выполнить код якобы в рамках технического теста, на деле процесс активирует мошеннический JavaScript.

После установки вредонос:

GTIG отмечает, что ПО работает в памяти и может запрашивать из Ethereum дополнительный модуль, предназначенный для кражи учетных данных.

По данным исследователей, за первые четыре месяца контракт обновлялся более 20 раз, при этом каждый апгрейд стоил в среднем всего $1,37 в виде комиссий.