El ataque que aprovechó el fallo de SharePoint de Microsoft a mediados de año recordó a muchos en España los peligros de los grupos hacker. A Google no se le ha olvidado y por eso han mostrado cómo atacantes coreanos están usando una técnica novedosa para ocultar malware.

Así lo revela el Grupo de Inteligencia de Amenazas de Google (GTIG), que ha publicado una nueva investigación que pone el foco en UNC5342, un grupo respaldado por el régimen de Corea del Norte y que se está valiendo de la llamada técnica EtherHiding.

El EtherHiding permite a estos atacantes no solo distribuir malware, sino robar todo tipo de datos sensibles y robar criptomonedas. Esta investigación supone la primera vez que el GTIG ha observado el uso de EtherHiding por parte de un actor malicioso vinculado a una nación.

El EtherHiding: la novedosa técnica de malware

El EtherHiding es una técnica que aprovecha las transacciones en blockchains públicas, y que consiste en almacenar y ocultar cargas con malware. La idea es incrustar código malicioso en forma de cargas útiles de JavaScript en un contrato inteligente dentro de una blockchain pública.

Por un lado está la ingeniería social que usan los actores de amenazas para acceder a los sitios web legítimos y así poder ejecutar el ataque. El GTIG habla de entrevistas de trabajo falsas, juegos basados en criptomonedas, etcétera.

EtherHiding es un método amparado dentro de la campaña CLEARFAKE de UNC5143 que según Google, tiene "motivaciones financieras, que utiliza superposiciones engañosas como avisos falsos de actualización del navegador, para manipular a los usuarios que ejecuten código malicioso".

Cuando el atacante obtiene acceso a un sitio web legítimo (un WordPress, por ejemplo) usando credenciales robadas o vulnerabilidades, este inyecta el fragmento de código. Le toca el turno a la víctima, que visita la página web en cuestión.

Una vez se realiza esta visita, el script de carga se ejecuta en el navegador. "Este script se comunica con la blockchain para recuperar la carga maliciosa principal almacenada en un en un servidor remoto", exponen desde Google.

En este paso entra en juego una llamada a una función de sólo lectura como eth_call, que no crea una transacción en la blockchain para que no se pueda rastrear. Así, cuando se recupera el malware, se hace de forma sigilosa y se evitan comisiones por transacciones.

La carga útil infectada se obtiene y es aquí cuando se ejecuta en el equipo de la víctima. "Esto puede dar lugar a diversas actividades maliciosas, como mostrar páginas de inicio de sesión falsas, instalar malware que roba información o implementar ransomware".

Las ventajas que otorga este sistema a los atacantes del UNC5342 son variadas. Para empezar, el código malicioso se almacena directamente en una blockchain pública, que no tiene permisos y que además está totalmente descentralizada.

Con este sistema, no es necesario tener un servidor central que sea susceptible de ser desactivado en caso de que las autoridades les descubran. Si la blockchain sigue operando, entonces el código permanecerá totalmente accesible.

A esto le sumamos que las transacciones de la blockchain son pseudoanónimas, lo que dificulta todavía más el rastreo de la identidad de los atacantes que implementaron los contratos inteligentes. Además, cuando se implementa el contrato, el código no puede ser eliminado ni alterado por nadie que no sea el dueño de dicho contrato.

Por si fuera poco, los atacantes pueden recuperar fácilmente estas cargas maliciosas mediante las llamadas de solo lectura, sin dejar un historial de transacciones. Finalmente Google destaca la capacidad del actor de amenazas para actualizar la carga si fuera necesario.

En palabras de Google, esto permite al atacante "cambiar sus métodos de ataque, actualizar dominios o implementar simultáneamente diferentes tipos de malware en sitios web comprometidos con solo actualizar el contrato inteligente".

Todo este entramado lleva rastreándose desde al menos febrero de este mismo año, cuando UNC5342 empezó a usar EtherHiding en una campaña de ingeniería social en curso llamada Contagious Interview. En este caso, se usa JADESNOW como malware.

Con JADENOW, los atacantes norcoreanos han podido implementar una variante de JavaScript de INVISIBLEFERRET, provocando varios robos de criptomonedas por el camino. Una campaña que Google califica de sofisticada, con claros fines financieros.

Esta campaña, apostilla la gran G, "explota astutamente el proceso de solicitud de empleo y entrevistas. Esta campaña se dirige a desarrolladores, especialmente en los sectores de criptomonedas y tecnología, para robar datos confidenciales y criptomonedas".