Google: Corea del Norte utiliza Cadena de bloques para distribuir malware

Un informe del Grupo de Inteligencia de Amenazas de Google advirtió sobre una campaña de malware implementada por Corea del Norte que utiliza EtherHiding. La campaña utiliza un contrato inteligente en una cadena pública, como Ethereum o BNB, para evitar la eliminación o el retiro por métodos tradicionales.

Google Advierte Sobre Corea del Norte Poniendo Malware en Blockchains Públicas

Los Hechos:

En un informe emitido el 16 de octubre, el Grupo de Inteligencia de Amenazas de Google alertó sobre el uso de blockchains públicos para ocultar malware por parte de acciones de amenazas de naciones, incluyendo a Corea del Norte.

La campaña utiliza un método llamado “EtherHiding”, que permite a los atacantes incrustar código malicioso como parte de un contrato inteligente que reside en blockchains públicas como Ethereum y BNB Chain. El método aumentó en 2023, pero Google afirma que esta es la primera vez que ha observado a una nación estatal adoptarlo.

EtherHiding también abarca las campañas de ingeniería social esperadas que incluyen la creación de empresas falsas y el objetivo de perfiles laborales vinculados a la industria de las criptomonedas o a protocolos de criptomonedas conocidos.

La contagión ocurre cuando las partes interesadas son sometidas a pruebas de programación que incluyen la descarga de herramientas infectadas, o a través de descargas de software de reuniones por video.

Google destaca que JADESNOW, un malware utilizado por Corea del Norte que aprovecha EtherHiding, muestra la versatilidad de estas herramientas basadas en blockchain. Al examinarlo, el grupo encontró que el contrato malicioso ha sido actualizado más de 20 veces en los primeros cuatro meses, por $1.37 en tarifas de gas por actualización.

“El bajo costo y la frecuencia de estas actualizaciones ilustran la capacidad del atacante para cambiar fácilmente la configuración de la campaña.” Declaró Google.

Por qué es relevante:

El uso de este tipo de técnica, donde la blockchain se utiliza como un mecanismo de distribución para malware, podría llevar a los reguladores a adoptar un enfoque más severo hacia la adopción de estas tecnologías.

Mientras que el malware alojado en un servidor remoto puede ser objetivo y eliminado, la inmutabilidad de la blockchain significa que las empresas de seguridad deben buscar otras formas de prevenir la propagación, apuntando a los proveedores de API que permiten que las transacciones muevan este código a las víctimas.

El grupo de Google en sí mismo afirmó que este nuevo enfoque implica “nuevos desafíos” ya que “los contratos inteligentes operan de forma autónoma y no pueden ser apagados.”

Esperando con ansias:

Los analistas esperan que la adopción de este tipo de técnica siga creciendo en el futuro y se combine con otros procesos innovadores para hacerlos aún más peligrosos, apuntando a sistemas que manejan blockchains o billeteras directamente.

Preguntas Frecuentes 🧭

• ¿Qué amenaza reciente identificó Google con respecto a las blockchains públicas? Google informó que actores de naciones-estado, incluido Corea del Norte, están utilizando un método llamado “EtherHiding” para incrustar malware dentro de contratos inteligentes en blockchains públicas como Ethereum y BNB Chain.
• ¿Cómo funciona el método EtherHiding? EtherHiding permite a los atacantes ocultar código malicioso dentro de contratos inteligentes y se basa en tácticas de ingeniería social, como crear empresas falsas para atraer a quienes buscan empleo relacionado con criptomonedas.
• ¿Qué malware específico se ha asociado con esta nueva técnica? El informe destacó a JADESNOW, un malware norcoreano que utiliza EtherHiding, mostrando actualizaciones frecuentes y bajos costos operativos para alterar su configuración de ataque.
• ¿Qué implicaciones tiene esta técnica para la regulación de blockchain? A medida que la inmutabilidad de la blockchain complica la eliminación de malware, los reguladores pueden buscar controles más estrictos sobre las tecnologías blockchain para mitigar la creciente amenaza de la explotación de malware en entornos de criptomonedas.