Google : la Corée du Nord utilise la Blockchain pour distribuer des logiciels malveillants

Un rapport du groupe Google Threat Intelligence a averti d'une campagne de malware mise en œuvre par la Corée du Nord qui utilise EtherHiding. La campagne utilise un contrat intelligent sur une chaîne publique, telle qu'Ethereum ou BNB, pour éviter la suppression ou l'élimination par des méthodes traditionnelles.

Google met en garde contre la Corée du Nord mettant du malware dans les blockchains publiques

Les faits :

Dans un rapport publié le 16 octobre, le Groupe d'Intelligence des Menaces de Google a alerté sur l'utilisation des blockchains publiques pour cacher des malware dans le cadre d'actions menaçantes d'États-nations, y compris la Corée du Nord.

La campagne utilise une méthode appelée “EtherHiding”, qui permet aux attaquants d'incorporer du code malveillant dans un contrat intelligent résidant dans des blockchains publiques comme Ethereum et BNB Chain. La méthode a connu une forte augmentation en 2023, mais Google déclare que c'est la première fois qu'il observe un État-nation l'adopter.

EtherHiding englobe également les campagnes d'ingénierie sociale attendues, qui incluent la création de fausses entreprises et le ciblage de profils d'emploi liés à l'industrie de la cryptomonnaie ou à des protocoles de cryptomonnaie connus.

La contagion se produit lorsque les parties intéressées sont soumises à des tests de programmation qui incluent le téléchargement d'outils infectés, ou via des téléchargements de logiciels de réunion vidéo.

Google souligne que JADESNOW, un malware utilisé par la Corée du Nord qui tire parti d'EtherHiding, montre la polyvalence de ces outils basés sur la blockchain. En l'examinant, le groupe a constaté que le contrat malveillant avait été mis à jour plus de 20 fois au cours des quatre premiers mois, pour 1,37 $ en frais de gaz par mise à jour.

« Le faible coût et la fréquence de ces mises à jour illustrent la capacité de l'attaquant à modifier facilement la configuration de la campagne. » a déclaré Google.

Pourquoi c'est pertinent :

L'utilisation de ce type de technique, où la blockchain est utilisée comme mécanisme de distribution pour le malware, pourrait inciter les régulateurs à adopter une approche plus sévère envers l'adoption de ces technologies.

Bien que les malwares hébergés sur un serveur distant puissent être ciblés et supprimés, l'immuabilité de la blockchain signifie que les entreprises de sécurité doivent chercher d'autres moyens d'empêcher la propagation, en ciblant les fournisseurs d'API qui permettent aux transactions de transférer ce code aux victimes.

Le groupe de Google lui-même a déclaré que cette nouvelle approche implique “de nouveaux défis” car “les contrats intelligents fonctionnent de manière autonome et ne peuvent pas être arrêtés.”

En Attendant:

Les analystes s'attendent à ce que l'adoption de ce type de technique continue de croître à l'avenir et soit combinée avec d'autres processus innovants pour les rendre encore plus dangereux, ciblant les systèmes qui gèrent directement les blockchains ou les portefeuilles.

FAQ 🧭

• Quelle menace récente Google a-t-il identifiée concernant les blockchains publiques ? Google a rapporté que des acteurs étatiques, y compris la Corée du Nord, utilisent une méthode appelée “EtherHiding” pour intégrer des malware dans des contrats intelligents sur des blockchains publiques comme Ethereum et BNB Chain.
• Comment fonctionne la méthode EtherHiding ? EtherHiding permet aux attaquants de cacher du code malveillant au sein des contrats intelligents et repose sur des tactiques d'ingénierie sociale, telles que la création de fausses entreprises pour attirer les chercheurs d'emploi liés aux cryptomonnaies.
• Quel malware spécifique a été associé à cette nouvelle technique ? Le rapport a souligné JADESNOW, un malware nord-coréen qui utilise EtherHiding, montrant des mises à jour fréquentes et des coûts opérationnels bas pour modifier sa configuration d'attaque.
• Quelles implications cette technique a-t-elle pour la régulation de la blockchain ? Alors que l'immuabilité de la blockchain complique la suppression des malwares, les régulateurs pourraient rechercher un contrôle plus strict sur les technologies blockchain pour atténuer la menace évolutive de l'exploitation des malwares dans les environnements de cryptomonnaie.