يشهد عالم الأمن السيبراني ظهور تهديد جديد يُعرف باسم “EtherHiding”، والذي يُعيد تشكيل طرق انتشار البرمجيات الخبيثة عبر الإنترنت. على عكس الأساليب التقليدية التي تعتمد على خوادم محددة لتوزيع الأكواد الضارة، يعتمد هذا الهجوم على العقود الذكية في البلوك تشين لتخزين وتحديث حمولات البرمجيات الخبيثة.
يجعل هذا التوجه استقطاب المتعقبين الأمنيين ووقف المهاجمين أمراً أكثر صعوبة، نظراً لإمكانية تغيير الحمى الخبيثة دون الحاجة لتعديل المواقع الإلكترونية التي يبدأ منها الهجوم.
EtherHiding: هجوم جديد يستغل البلوك تشين لتوزيع البرمجيات الخبيثة
يبدأ الهجوم عندما يقوم المخترق بحقن كود خبيث في موقع إلكتروني شرعي. يعرض هذا الكود المخترق صفحة CAPTCHA وهمية تبدو وكأنها فحص أمني حقيقي، تطلب من الزوار إثبات أنهم ليسوا روبوتات.
بدلاً من النقر على خانة اختيار بسيطة، يتم خداع الضحايا لنسخ ولصق كود في نافذة الأوامر أو الطرفية الخاصة بهم. عند اتباع هذه التعليمات، يتم تثبيت برمجيات خبيثة بصمت على جهاز الضحية.
تستغل هذه التقنية ثقة المستخدم وتحول مهمة تشغيل الكود إلى الضحية نفسه، مما يساعد البرمجيات الخبيثة على التهرب من الكشف من قبل الأدوات الأمنية التي تراقب التنفيذ الآلي للبرمجيات الخبيثة.
حدد محللو الأمن في Censys نمط الهجوم هذا أثناء مراقبة المواقع الإلكترونية التي تستضيف طُعوم CAPTCHA وهمية عبر عدة نطاقات.
اكتشاف نشاط الهجوم
خلال تحقيقهم، اكتشف الباحثون سلسلة EtherHiding التي تجمع بين تخزين البلوك تشين، واختيار البرمجيات الخبيثة المخصصة للمنصة، والهندسة الاجتماعية، ضمن سير عمل هجوم كامل.
كشفت النتائج كيف يتيح هذا النهج الجديد نظام توزيع مرن وأكثر صعوبة في التعقب مقارنة بالطرق القديمة التي استخدمت عناوين خوادم ثابتة. وتشمل الحمى الخبيثة التي يتم توزيعها عبر حملات EtherHiding عادةً أدوات سرقة المعلومات الشائعة مثل Amos Stealer و Vidar، المصممة لجمع بيانات الاعتماد والمعلومات الحساسة من الأجهزة المصابة.
من خلال الجمع بين البنية التحتية اللامركزية، والتراكبات الأمنية الوهمية، والتنفيذ اليدوي للمستخدم، يزيل المهاجمون العديد من الأنماط المتوقعة التي تعتمد عليها الدفاعات تقليدياً لتحديد التهديدات.
آليات توزيع الحمولة المدعومة بالبلوك تشين
توضح طريقة EtherHiding في توزيع البرمجيات الخبيثة كيف تغير تقنية البلوك تشين اللامركزية البنية التحتية للهجمات. عندما يزور الضحية موقعاً إلكترونياً مخترقاً، يقوم متصفحه تلقائياً بتحميل مقتطف JavaScript مشفر بـ Base64 ومخفي في HTML.
يقوم هذا المقتطف بفك تشفير كود مبهم يتصل بالعقود الذكية على شبكة Binance Smart Chain testnet باستخدام دالة تسمى load_().
تقوم العقود بإرجاع بيانات مشفرة بصيغة سداسية عشرية يقوم المتصفح بفك تشفيرها إلى JavaScript قابل للتنفيذ، والذي يحدد بدوره نظام تشغيل الضحية ويستجلب نسخة البرمجيات الخبيثة المناسبة.
يستخدم الهجوم عقدين مميزين لجلب الحمولة المخصصة لنظامي التشغيل Windows أو macOS. بالنسبة لأنظمة Windows، يتصل الكود بالعقد 0x46790e2Ac7F3CA5a7D1bfCe312d11E91d23383Ff، بينما يتم توجيه ضحايا macOS إلى 0x68DcE15C1002a2689E19D33A3aE509DD1fEb11A5.
قبل تسليم الحمولة النهائية، يمر الهجوم عبر عقد تحكم في العنوان 0xf4a32588b50a59a82fbA148d436081A48d80832A يقوم بالتحقق من كل ضحية باستخدام معرف فريد مخزن في ملف تعريف ارتباط دائم.
تسمح آلية البوابة هذه للمهاجمين بتمكين أو تعطيل توزيع البرمجيات الخبيثة لضحايا محددين بشكل انتقائي، ببساطة عن طريق تغيير بيانات البلوك تشين، دون الحاجة للمس الموقع المخترق.
بمجرد اجتياز عقد البوابة، يرى الضحية صفحة CAPTCHA وهمية خاصة بمنصته مع تعليمات مصممة خصيصاً لنظام التشغيل الخاص به.
يقوم JavaScript بنسخ الأوامر الخبيثة تلقائياً إلى الحافظة، ويتم توجيه الضحايا للصق الأوامر في Terminal على macOS أو في مربع الحوار Run على Windows.
تخلق خطوة التنفيذ اليدوي هذه فجوة كشف كبيرة، نظراً لعدم حدوث أي سلوك آلي للبرمجيات الخبيثة، فالضحية نفسه هو من يقوم بتشغيل عملية التثبيت.
على macOS، تستخدم الحمولة أوامر AppleScript و curl لتنزيل وتنفيذ عميل كامل الميزات. يقوم هذا العميل بإنشاء استمرارية باستخدام ملفات LaunchAgent plist ويسترد عنوان خادم القيادة والتحكم الخاص به من ملفات تعريف Telegram أو Steam عن طريق كشط عناصر HTML محددة.
ثم تقوم البرمجيات الخبيثة بجمع كلمة المرور النصية الواضحة للمستخدم عن طريق عرض مربع حوار مزيف للإعدادات المفضلة، وتزامين بيانات الاعتماد المسروقة مع خادم المهاجم، وتدخل في حلقة استقصاء لتلقي وتنفيذ أوامر shell عشوائية كل ثلاثين ثانية.
يمثل الجمع بين عقود البلوك تشين الذكية، وهندسة CAPTCHA الوهمية الاجتماعية، وتنفيذ الكود المحلي، تحولاً كبيراً في تكتيكات المهاجمين.
من خلال نقل تخزين الحمولة إلى بنية تحتية لامركزية وإزالة الحاجة إلى التنفيذ التلقائي، يخلق EtherHiding نموذج هجوم يتميز بالمرونة، وصعوبة التنبؤ به، ومقاومة العديد من طرق الكشف الأمني التقليدية.
يجب على المؤسسات مراقبة المواقع التي تعرض تراكبات CAPTCHA وهمية، والبقاء يقظة بشأن نشاط الحافظة المرتبط بأوامر الطرفية، حيث يمكن لهذه العلامات التحذيرية المساعدة في اكتشاف هذا التهديد الناشئ قبل حدوث التثبيت.