Атака на блокчейне: хакеры превратили BNB Smart Chain в неуязвимую инфраструктуру для кражи данных

Специалисты Trend Micro обнаружили атаку в мае 2026 года в ходе расследования инцидента внутри компании-клиента. Сотрудник организации зашёл на легитимный швейцарский сайт для активного отдыха, работающий на WordPress. Среди 22 скриптов, загружаемых страницей, один оказался вредоносным - в тег head был внедрён инлайн-код без ссылок на внешние домены. Это был загрузчик ClearFake первого этапа.

Техника, получившая название EtherHiding, была впервые задокументирована исследователями Guardz ещё в октябре 2023 года. Суть метода проста и одновременно гениальна: злоумышленники хранят полезную нагрузку не на серверах, а внутри смарт-контрактов. Браузер жертвы через стандартный JSON-RPC-запрос eth_call обращается напрямую к контракту в сети BSC и получает вредоносный код. Никаких доменов для блокировки, никаких IP-адресов - только неизменяемые записи в блокчейне, которые невозможно удалить, изменить или передать третьим лицам.

Для атаки использовалась тестовая сеть BNB Smart Chain (testnet). Это решение имеет особый смысл: тестовые токены BNB не имеют денежной стоимости и доступны из публичных кранов, поэтому инфраструктура для злоумышленников полностью бесплатна. Закрепление в блокчейне означает, что ни поставщики услуг безопасности, ни регистраторы доменов, ни правоохранительные органы не могут заблокировать или изъять эти данные.

Trend Micro выявила четыре смарт-контракта, каждый из которых выполнял свою роль в цепочке атаки. Первый контракт содержал обфусицированный JavaScript для антианалитического диспетчера. Второй и третий хранили полезные нагрузки для Windows и macOS соответственно. Четвёртый контракт отслеживал статус заражения - он позволял злоумышленникам подтверждать успешное выполнение вредоносного кода на устройстве жертвы.

Все четыре контракта были развёрнуты с одного кошелька. Временная шкала развёртывания впечатляет: первый контракт появился в сети 26 мая 2025 года, то есть кампания велась как минимум год до момента обнаружения. Контракты для Windows и macOS были развёрнуты в сентябре 2025 года. Данные транзакций подтверждают, что злоумышленники активно обновляли вредоносную нагрузку и записывали случаи заражения вплоть до момента исследования.

Механизм атаки был продуман до мелочей. После получения кода из первого контракта браузер жертвы выполнял две проверки на наличие среды анализа. Функция isHeadless() проверяла семь условий: наличие флага webdriver, строк HeadlessChrome, PhantomJS, Puppeteer и Playwright в user agent, нулевые размеры окна, а также отсутствие нормального браузера. Функция isLocalhost() блокировала все частные IP-диапазоны и localhost, что делало атаку невидимой для исследовательских песочниц.

Только реальные пользователи с обычными браузерами проходили проверку. Далее система определяла операционную систему и направляла жертву к соответствующему контракту. Для Windows третий контракт возвращал примерно 43 килобайта JavaScript с полным оверлеем ClickFix - так называется метод социальной инженерии, при котором пользователя обманом заставляют выполнить вредоносную команду.

Оверлей имитировал Google reCAPTCHA: подлинное SVG-лого Google, флажок "Я не робот", ссылки на политику конфиденциальности. После нажатия на флажок появлялась панель с инструкциями. Пользователю предлагали нажать сочетание клавиш для запуска команды, которая уже была скопирована в буфер обмена. Жертва открывала окно "Выполнить" и запускала подставленный код. Телеметрия конечных точек подтверждает, что именно так и произошло.

После выполнения команды запускалась сложная многоступенчатая установка вредоносного ПО. Сервис WebClient (протокол для доступа к удалённым файлам через WebDAV) загружал удалённую DLL-библиотеку с нестандартным расширением .camp непосредственно в память - файл никогда не создавался на диске. Затем процесс rundll32.exe внедрял удалённые потоки в процессы chrome.exe и msedge.exe. Целью была кража учётных данных браузера.

Окончательная полезная нагрузка включала две вредоносные программы. Первая - SectopRAT, написанная на .NET программа удалённого доступа, способная перехватывать сессии браузера, похищать пароли, кредитные карты, cookie, криптовалютные кошелёк, данные Discord, Telegram, Steam, VPN и FTP. Вторая - ACRStealer на C++, которая доставлялась через механизм подмены DLL. Злоумышленники разместили легитимный vlc.exe и libvlc.dll вместе с вредоносной libvlccore.dll в папку профиля Firefox. Подменённая DLL перенаправляла API-вызовы к настоящей библиотеке, одновременно расшифровывая и запуская 4,29-мегабайтный зашифрованный код.

Отдельного внимания заслуживает четвёртый контракт - он выполнял роль трекера выполнения. Перед отображением оверлея скрипт проверял, существует ли UUID жертвы в списке контракта. Если жертва уже была скомпрометирована, оверлей не показывался. Когда злоумышленник подтверждал успешное заражение, он записывал публичный IP жертвы в контракт, и скрипт скрывал оверлей.

Исследователи Trend Micro подчёркивают важность этого случая. Техника EtherHiding устраняет самые уязвимые компоненты традиционной инфраструктуры: домены, IP-адреса, хостинг-провайдеров. Все четыре выявленных контракта остаются активными в тестовой сети BNB на момент публикации. Никакие действия вендоров безопасности, регистраторов или правоохранителей не могут изменить или удалить хранящиеся в них данные. Это не ограничение, а фундаментальное свойство неизменяемой децентрализованной инфраструктуры.

Для защиты от подобных атак эксперты рекомендуют блокировать исходящий JSON-RPC-трафик к известным конечным точкам тестовой сети BNB. На уровне конечных точек стоит отключать службу WebClient на тех рабочих станциях, где она не нужна. На уровне браузера желательно ограничить доступ к буферу обмена для скриптов. И, что самое важное, необходимо обучать пользователей распознавать поддельные CAPTCHA и другие методы социальной инженерии - именно осознанное действие жертвы запустило всю цепочку заражения.

Domains

• afraid.veloitall.cfd
• bsc-testnet-rpc.publicnode.com
• download2324.mediafire.com
• getcfgs.qen9varol.lat
• ip-info.ff.avast.com
• mc.yandex.ru
• ohn.stainedunstitch.work
• ootid.srv-auth-dlt-msh.in.net
• put34b.camp
• ren.trytoken.life
• root-cul.xamir3on.lat
• www.badischwaendi.ch

Contract Address

• 0x46790e2Ac7F3CA5a7D1bfCe312d11E91d23383Ff
• 0x68DcE15C1002a2689E19D33A3aE509DD1fEb11A5
• 0xA1decFB75C8C0CA28C10517ce56B710baf727d2e
• 0xd71f4cdC84420d2bd07F50787B4F998b4c2d5290
• 0xf4a32588b50a59a82fbA148d436081A48d80832A

SHA256

• 46add4a5fb2da6fe12759a06fe1c6bc43e987da3ea7c28bff0a7f2a349088f0d
• 9c235a84d15087719e59c09f41d43e3574de4544d490aab619184a7d65b02910
• a5691a4fc69faa4f0fe08f12347783e1dde3c617552be7efd1c5ed89a793e885

WebDAV

• \\root-cul.xamir3on.lat\sh1ne-apps-testsh-zec833-lives7z\put34b.camp