Avec EtherHiding, les cybercriminels exploitent des blockchains à l’épreuve des démantèlements

L’époque où les forces de l’ordre pouvaient procéder à des démantèlements très médiatisés des infrastructures utilisées par les cybercriminels pour lancer des cyberattaques pourrait bien toucher à sa fin en raison des réseaux blockchain.

À l’aide d’une approche connue sous le nom d’EtherHiding, les syndicats de cybercriminels copient désormais une méthode de distribution de malware mise au point par des hackers travaillant pour le compte de la Corée du Nord grâce aux réseaux blockchain. Aujourd’hui, un syndicat plus motivé par l’appât du gain, connu sous le nom d’UNC5142, emploie la même technique pour convertir plus de 14 000 sites WordPress légitimes en un réseau de distribution de malware qui pourrait s’avérer impossible à démanteler.

UNC5142 attaque initialement ces sites en distribuant des pages d’attaque via des services légitimes tels que Cloudflare Pages afin d’exploiter la confiance accordée à une infrastructure reconnaissable. Les leurres les plus courants comprennent de faux écrans reCAPTCHA, des accords de confidentialité des données et de faux messages d’erreur Cloudflare. Les victimes sont incitées à exécuter des commandes malicieuses grâce à des techniques « ClickFix ». La charge utile finale (des voleurs d’informations tels que VIDAR, ATOMIC et LUMMAC.V2) est livrée sous forme de données chiffrées déguisées en types de fichiers inoffensifs, puis déchiffrée et exécutée entièrement en mémoire pour échapper à la détection.

Un chargeur JavaScript léger est ensuite injecté dans le site compromis. Lorsque les utilisateurs consultent la page infectée, le chargeur interroge un contrat intelligent sur Ethereum ou BNB Smart Chain à l’aide d’un appel de fonction en lecture seule pour s’assurer qu’il n’y a pas d’historique de transaction. La charge utile récupérée déploie des voleurs d’informations, des ransomwares ou de faux écrans d’authentification. Plus gênant encore, les pirates peuvent changer de campagne sans toucher au code initialement injecté dans les sites compromis.

Conséquences à long terme sur le paysage des menaces

Il n’existe aucun moyen de contraindre ces réseaux blockchain décentralisés à se conformer à une décision de justice. Tant que les réseaux Ethereum ou BNB Smart Chain fonctionneront, l’infrastructure employée pour lancer ces attaques par malware continuera d’exister. Les contrats intelligents créés via un réseau blockchain ne sont pas en mesure de faire la distinction entre les applications légitimes et les serveurs de commande et de contrôle utilisés pour distribuer du malware. Il n’existe aucun serveur que les forces de l’ordre puissent identifier et saisir dans le cadre d’un raid.

La seule façon de contrecarrer ces attaques est d’empêcher qu’un site WordPress ou un environnement d’application web similaire ne soit compromis. Cela exige une plus grande rigueur dans l’analyse des pages et des plug-ins à la recherche de liens vers des réseaux externes. Comme toujours, le défi réside dans le fait que les personnes qui créent ces sites n’ont généralement que peu d’expertise en matière de cybersécurité.

Tout aussi préoccupant, l’analyse de chaque page web à la recherche de liens externes vers des réseaux blockchain est une tâche titanesque, et de nombreuses entreprises n’ont ni le temps, ni l’argent, ni les ressources nécessaires pour s’y atteler. Des syndicats tels qu’UNC5142 profitent volontiers de cette situation regrettable. À ce stade, les équipes de cybersécurité doivent partir du principe que de nombreux autres syndicats cybercriminels vont suivre l’exemple d’UNC5142 avec EtherHiding.

La cybersécurité est un éternel jeu de taupe. La nouveauté réside dans le fait que, grâce à la blockchain, la taupe est désormais beaucoup plus à même de résister aux coups assénés par les forces de l’ordre.