Google: A Coreia do Norte Usa Blockchain para Distribuir Malware

Um relatório do Google Threat Intelligence Group alertou sobre uma campanha de malware implementada pela Coreia do Norte que utiliza EtherHiding. A campanha utiliza um contrato inteligente em uma cadeia pública, como Ethereum ou BNB, para evitar a exclusão ou remoção por métodos tradicionais.

Google Alerta Sobre a Coreia do Norte Colocando Malware em Blockchains Públicos

Os Fatos:

Num relatório divulgado a 16 de outubro, o Google Threat Intelligence Group alertou sobre o uso de blockchains públicos para ocultar malware por ações de ameaças de estados-nação, incluindo a Coreia do Norte.

A campanha utiliza um método chamado “EtherHiding”, que permite que atacantes integrem código malicioso como parte de um contrato inteligente residente em blockchains públicas como Ethereum e BNB Chain. O método aumentou em 2023, mas o Google afirma que esta é a primeira vez que observou uma nação-estado adotá-lo.

EtherHiding também abrange as campanhas de engenharia social esperadas que incluem a criação de empresas falsas e o direcionamento de perfis de trabalho ligados à indústria de criptomoedas ou a protocolos de criptomoeda conhecidos.

A contaminação ocorre quando as partes interessadas são submetidas a testes de programação que incluem o download de ferramentas infectadas, ou através de downloads de software de reuniões por vídeo.

O Google destaca que o JADESNOW, um malware utilizado pela Coreia do Norte que aproveita o EtherHiding, demonstra a versatilidade dessas ferramentas baseadas em blockchain. Ao examiná-lo, o grupo descobriu que o contrato malicioso foi atualizado mais de 20 vezes nos primeiros quatro meses, por $1,37 em taxas de gás por atualização.

“O baixo custo e a frequência dessas atualizações ilustram a capacidade do atacante de mudar facilmente a configuração da campanha.” Declarou o Google.

Por Que É Relevante:

O uso deste tipo de técnica, onde a blockchain é utilizada como um mecanismo de distribuição para malware, pode levar os reguladores a adotarem uma abordagem mais rigorosa em relação à adoção destas tecnologias.

Embora o malware hospedado em um servidor remoto possa ser alvo e eliminado, a imutabilidade da blockchain significa que as empresas de segurança devem buscar outras maneiras de prevenir a propagação, visando os provedores de API que permitem que as transações movam esse código para as vítimas.

O próprio grupo do Google afirmou que essa nova abordagem implica “novos desafios”, uma vez que “os contratos inteligentes operam de forma autônoma e não podem ser desligados.”

Aguardando com Expectativa:

Os analistas esperam que a adoção deste tipo de técnica continue a crescer no futuro, e que seja combinada com outros processos inovadores para torná-los ainda mais perigosos, visando sistemas que lidam diretamente com blockchains ou carteiras.

FAQ 🧭

• Que ameaça recente o Google identificou em relação às blockchains públicas? O Google relatou que atores de estados-nação, incluindo a Coreia do Norte, estão usando um método chamado “EtherHiding” para embutir malware dentro de contratos inteligentes em blockchains públicas como Ethereum e BNB Chain.
• Como funciona o método EtherHiding? EtherHiding permite que atacantes escondam código malicioso dentro de contratos inteligentes e depende de táticas de engenharia social, como criar empresas falsas para atrair candidatos a empregos relacionados com criptomoedas.
• Que malware específico tem sido associado a esta nova técnica? O relatório destacou o JADESNOW, um malware norte-coreano que utiliza EtherHiding, apresentando atualizações frequentes e baixos custos operacionais para alterar sua configuração de ataque.
• Quais são as implicações desta técnica para a regulação da blockchain? À medida que a imutabilidade da blockchain complica a remoção de malware, os reguladores podem buscar controles mais rigorosos sobre as tecnologias de blockchain para mitigar a ameaça em evolução da exploração de malware em ambientes de criptomoedas.