币安的智能链在新的“EtherHiding”恶意软件活动中被利用

据观察，威胁行为者利用币安的智能链（BSC）合约来提供恶意代码，这被称为“下一级别的防弹托管”。

该活动于两个月前被发现，瓜迪奥实验室将其代号为EtherHiding 。

这一新颖的转折标志着正在进行的活动的最新迭代，该活动利用受感染的 WordPress 网站向毫无戒心的访问者发出虚假警告，要求他们在访问网站之前更新浏览器，最终导致部署信息窃取恶意软件，例如 Amadey、Lumma 或红线。

安全研究人员 Nati Tal 和 Oleg Zaytsev表示：“虽然他们最初在被滥用的 Cloudflare Worker 主机上托管代码的方法被取消，但他们很快就转向利用区块链的去中心化、匿名和公共性质。”

“这场活动愈演愈烈，而且比以往任何时候都更难被发现和摧毁。”

毫不奇怪，威胁行为者通过恶意插件以WordPress 网站为目标，并利用流行插件中公开披露的安全缺陷来破坏网站。这使得能够随意完全劫持受感染的网站。

在最新的一组攻击中，受感染的站点被注入了混淆的 Javascript，旨在通过使用攻击者控制的区块链地址创建智能合约来查询BNB 智能链。

目标是获取第二阶段脚本，该脚本反过来从命令和控制 (C2) 服务器检索第三阶段有效负载，以提供欺骗性浏览器更新通知。

如果受害者点击虚假覆盖层上的更新按钮，他们就会被重定向到从 Dropbox 或其他合法文件托管服务下载恶意可执行文件。

虽然该地址和相关合约已被标记为用于网络钓鱼计划，但将其托管在去中心化服务上的后果意味着目前无法干预和破坏攻击链。

“由于这不是一个用于任何金融或其他活动的地址，受害者可能会被引诱将资金或任何其他类型的知识产权转移到该地址，因此受感染的 WordPress 网站的访问者不知道幕后发生了什么，”研究人员解释道。

“这份被标记为虚假、恶意或类似内容的合同仍然在线并传递恶意负载。”

随着插件成为 WordPress 的一个相当大的攻击面，建议依赖内容管理系统 (CMS) 的用户遵守安全最佳实践，并使用最新补丁保持其系统处于最新状态，删除不需要的管理员用户，并强制执行强密码。