Информационный вор SharkStealer, написанный на языке Golang, начал использовать тестовую сеть Binance Smart Chain (BSC) в качестве скрытого механизма для управления командными серверами. Новая техника, получившая название EtherHiding, позволяет злоумышленникам эффективно скрывать коммуникации вредоносного ПО с центрами управления на базе публичного блокчейна.
Описание
Традиционные каналы связи между вредоносным ПО и командными серверами обычно полагаются на выделенные домены или IP-адреса, которые специалисты по кибербезопасности могут быстро заблокировать после обнаружения. SharkStealer обходит это ограничение, используя смарт-контракты в тестовой сети BSC в качестве устойчивого хранилища для критически важной информации.
Механизм работы технологии EtherHiding основан на использовании Ethereum RPC вызовов к узлам тестовой сети BSC. При каждом подключении к сети вредоносная программа выполняет запрос eth_call к заранее определенному смарт-контракту, который возвращает два элемента данных: вектор инициализации и зашифрованный blob-объект, содержащий фактический адрес командного сервера. Полученные данные расшифровываются в памяти с использованием алгоритма AES-CFB и жестко заданного криптографического ключа.
Главное преимущество этого подхода для злоумышленников заключается в том, что данные хранятся в публичном блокчейне, что значительно усложняет их обнаружение и блокировку. Запросы к смарт-контрактам выглядят идентично легитимным взаимодействиям с децентрализованными приложениями, что позволяет вредоносной активности смешиваться с обычным сетевым трафиком.
Технический анализ показывает, что SharkStealer взаимодействует с HTTP RPC конечными точками тестовой сети BSC, такими как https://data-seed-prebsc-1-s1.binance.org:8545. После получения и расшифровки данных программа устанавливает сетевое соединение с извлеченным адресом командного сервера и начинает передачу похищенной информации с зараженного компьютера.
Использование блокчейна в качестве инфраструктуры для управления вредоносным ПО представляет серьезную проблему для специалистов по кибербезопасности. Публичные реестры предлагают цензуроустойчивое хранение данных и глобальную доступность, что превращает смарт-контракты в универсально доступные точки сброса информации. Блокировка таких каналов связи требует координации с операторами блокчейна и провайдерами узлов, что значительно сложнее традиционного перехвата доменных имен.
Растущая популярность атак на инфраструктуру публичных реестров демонстрирует эволюцию тактик киберпреступников. Техника EtherHiding подчеркивает важность мониторинга не только традиционных сетевых показателей, но и специфических паттернов взаимодействия с блокчейн-сетями. Защитникам необходимо разрабатывать методы обнаружения eth_call запросов, нацеленных на известные вредоносные контракты, поскольку в противном случае эти вызовы остаются неотличимыми от легитимной активности.
Эксперты отмечают, что подобные методы могут получить широкое распространение среди других семейств вредоносного ПО, поскольку они обеспечивают высокий уровень устойчивости инфраструктуры управления. Разработка эффективных контрмер требует тесного сотрудничества между специалистами по кибербезопасности, операторами блокчейн-сетей и регуляторными органами.
Появление SharkStealer с поддержкой технологии EtherHiding знаменует новый этап в эволюции угроз информационной безопасности, где границы между традиционными кибератаками и abuse распределенных реестров становятся все более размытыми. Это требует пересмотра существующих подходов к обнаружению и нейтрализации сложных угроз в условиях быстро развивающегося ландшафта киберпреступности.
Индикаторы компрометации
IPv4
- 84.54.44.48
Domains
- securemetricsapi.live
Domain Port Combinations
- data-seed-prebsc-2-s1.binance.org:8545
SHA256
- 3d54cbbab911d09ecaec19acb292e476b0073d14e227d79919740511109d9274
Smart contracts
- 0xc2c25784E78AeE4C2Cb16d40358632Ed27eeaF8E
- 0x3dd7a9c28cfedf1c462581eb7150212bcf3f9edf
