Главная страница » Индикаторы компрометации
0
6 часов
Индикаторы компрометации

Угроза в блокчейне: злоумышленники используют смарт-контракты Ethereum для управления вредоносным ПО

remote access Trojan

Специалисты по кибербезопасности столкнулись с новой тактикой организации командного центра для вредоносного ПО, которая демонстрирует растущую изощрённость угроз. Вместо традиционных доменных имён или IP-адресов, которые могут быть быстро заблокированы, злоумышленники начали использовать публичные блокчейны как неуязвимый источник конфигурации. Последний инцидент связан с вредоносным модом для популярной игры Minecraft, который для получения адреса сервера управления обращается к смарт-контракту в сети Ethereum. Этот подход создаёт серьёзную проблему для защитников, так как делает инфраструктуру злоумышленников практически неистребимой традиционными методами блокировки.

Описание

Атака нацелена на специфическую аудиторию - пользователей так называемых читерских клиентов (cheat clients) для Minecraft, которые ищут нечестные преимущества в игре. Вредоносный мод, распространяемый через подобные сообщества, маскируется под легитимное дополнение. После установки он выполняет первую стадию атаки: собирает сессионные данные для входа в игру, перечисляет установленные на компьютере жертвы моды, а затем связывается с командным центром для загрузки второй, гораздо более опасной полезной нагрузки.

Именно здесь в игру вступает блокчейн. Вместо того чтобы быть "зашитым" в код, адрес C2 динамически извлекается из заранее определённого смарт-контракта в основной сети Ethereum (mainnet). Мод отправляет запрос к контракту и получает в ответ текущий URL-адрес сервера управления, подписанный с использованием RSA-шифрования для проверки подлинности. Если защитники или правоохранительные органы выявляют и "зачищают" используемый домен, оператору угрозы достаточно лишь обновить данные в смарт-контракте - и все уже заражённые системы моментально получат новый адрес для подключения, минуя любые доменные блокировки. Как сообщили исследователи в своём блоге, полная вторая стадия вредоносной программы представляет собой многофункциональную RAT (троян удалённого доступа) размером около 7 мегабайт, загружаемую с домена friendlydomain[.]ru.

Анализ второй стадии выявил сложную структуру, включающую 3323 файла и использование библиотек JNA (Java Native Access) для прямого взаимодействия с Windows API, что указывает на серьёзные возможности по скрытному контролю над системой. Инфраструктура злоумышленников, размещённая за сервисом защиты от DDoS-атак DDoS-Guard, выглядит как полноценная панель управления ботнетом с разделами для администрирования, статусов агентов и загрузки файлов. Что делает эту историю особенно показательной, так это её неединичный характер. Это уже второй подобный случай, обнаруженный экспертами за короткое время. Ранее был задокументирован вредонос Shadow C2, использовавший Binance Smart Chain для аналогичных целей - динамического разрешения адресов управления. Разные операторы, независимо друг от друга, приходят к одной и той же методике, что сигнализирует о начале новой тенденции.

Последствия таких атак выходят далеко за рамки краж аккаунтов в компьютерной игре. Установленный троян удалённого доступа предоставляет злоумышленникам практически неограниченный контроль над компьютером жертвы. Это может привести к краже банковских данных, криптовалютных кошельков, ключей электронной почты и мессенджеров, установке программ-вымогателей или использованию системы в качестве плацдарма для атак внутри корпоративной сети, если заражение произошло на рабочем компьютере. Особую озабоченность вызывает целевая аудитория - часто это технически подкованные, но излишне доверчивые подростки и молодые люди, ищущие способы обхода игровых правил, что делает их лёгкой добычей.

Для специалистов по защите информации этот инцидент служит чётким сигналом к необходимости адаптации инструментов мониторинга. Традиционные системы обнаружения, ориентированные на списки доменов и IP-адресов, слепнут перед угрозами, использующими блокчейн. Теперь в фокус наблюдения должны попадать сетевые активности, связанные с обращением к публичным узлам блокчейнов (Ethereum, Binance Smart Chain и другим) со стороны непредназначенных для этого приложений. Мониторинг исходящих запросов к API блокчейн-сетей и анализ нестандартного сетевого трафика из доверенных приложений становятся критически важными. Борьба с такими угрозами смещается с реактивного блокирования инфраструктуры на проактивное выявление самого вредоносного поведения и его сложных механизмов скрытности.

Индикаторы компрометации

IPv4

  • 2.23.140.1
  • 216.203.20.196

Domains

friendlydomain.ru

SHA256

  • 277417c41a4f388148f5d417ab45695967adf8e7ea28bce7ef634adc1e01c419
  • 36a89f65fe2d693a094b51495f3a84d0f4f2ae7276649952d6f78c85282e6f6d
  • 9f7a07f69d9b9a5af186a79159ccea18935ab4103128ca967e3f3f8ae45fb3ee
  • bfb286554b24db87b6cbcb6e68be23f89dee1be4d7db544d1e7c97c45664e0df
  • e85d686a5981ce1d9b8f65712e2b4b8056773bb9d45a706d4219afbc68c29901
  • e9639e3c4681ce85f852fbac48e2eeee5ba51296dbfec57c200d59b76237ab80
Комментарии: 0
Похожие записи
0
23.12.2025
Уязвимости

Уязвимость в драйвере Microsoft BFS позволяет повысить привилегии в Windows

vulnerability
Корпорация Microsoft устранила критическую уязвимость типа «использование после освобождения» (use-after-free) в драйвере Brokering File System (BFS). Эта ошибка, получившая идентификатор CVE-2025-29970
0
26.08.2025
Индикаторы компрометации

Обновление инструментария Fairy Trickster и возможная связь с группировкой Lifting Zmiy

APT
Группировка Fairy Trickster, также известная под названием Rainbow Hyena, продолжает развивать свой арсенал кибернетических инструментов, демонстрируя новые методы атак и обфускации.
0
21.07.2025
Уязвимости

Опасная уязвимость в 7-Zip: злоумышленники могут атаковать системы через RAR5-архивы

vulnerability
В популярной программе для сжатия и распаковки файлов 7-Zip обнаружена критическая уязвимость, позволяющая злоумышленникам вызывать отказ в обслуживании (DoS) с помощью специально сформированных архивов в формате RAR5.