Onderzoekers waarschuwen dat zowel door de staat gefinancierde als criminele actoren nu gebruik maken van slimme contracten op openbare blockchains om kwaadaardige code op te slaan en te verspreiden – een geavanceerde technologie genaamd Etherverbergen.
Deze methode maakt het voor beveiligingsbedrijven en wetshandhavingsinstanties aanzienlijk moeilijker om de infrastructuur van aanvallers te volgen, blokkeren of uit te schakelen, omdat blockchaintechnologie is ontworpen om gedecentraliseerd en onveranderlijk te zijn.

Wat is EtherHiding?

EtherHiding is een aanvalsmethode waarbij aanvallers gebruikmaken van slimme contracten – programma's die op blockchains draaien, zoals Ethereum of BNB Smart Chain – om schadelijke code en instructies rechtstreeks in de gegevensvelden van de blockchain te verbergen.
Wanneer aan specifieke voorwaarden wordt voldaan of het contract wordt ingeroepen, retourneert het een schadelijke lading die wordt gedownload en uitgevoerd op de computer van het slachtoffer.

Dit betekent dat de aanvallers geen centrale server of gecompromitteerd domein meer nodig dat kan worden uitgeschakeld, waardoor de infrastructuur veel veiliger wordt bestand tegen detectie en uitschakeling.
De technologie is gebaseerd op de basisprincipes van blockchain: transparantie en onveranderlijkheid. – maar wordt gebruikt hier voor een geheel nieuw, schadelijk doel.

Advertentie

Een nieuwe stap in de cyberwapenwedloop

Cyberverdedigers vertrouwen al lang op het blokkeren van IP-adressen, het uitschakelen van domeinen en het verwijderen van serverinhoud wanneer er aanvallen worden gedetecteerd.
Met EtherHiding wordt dit praktisch onmogelijk. De content blijft voor altijd op de blockchain staan en elke keer dat een smart contract wordt uitgevoerd, kan het activeer code die verspreid is over meerdere contracten.

Volgens onderzoekers van Google Threat Intelligence Group (GTIG) EtherHiding vertegenwoordigt een “verschuiving naar een kogelvrije hosting van de volgende generatie”, waarbij gedecentraliseerde systemen worden gebruikt om aanhoudende, ongrijpbare infrastructuur.

De aanvallers maken ook misbruik van proxypatroon, een legitieme ontwikkelingsbenadering om slimme contracten upgradebaar te maken.
In de criminele variant wordt het patroon gebruikt om te verdelen de code in verschillende delen – zodat een backdoor bijgewerkt kan worden zonder dat de hele keten aangepast hoeft te worden.
Het resultaat is een flexibele en duurzame C2 (Command & Control)-omgeving, ideaal voor zowel cybercriminele als door de staat gesponsorde operaties.

Noord-Koreaanse groep UNC5342 – JADESNOW en INVISIBLEFERRE

GTIG heeft onlangs onthuld dat de Noord-Koreaanse dreigingsactor UNC5342 maakt gebruik van EtherHiding-technologie om schadelijke JavaScript-code in meerdere fasen te verspreiden.
De eerste fase – zoals Google het noemt De JADESNOW-downloader – haalt code op, decodeert en voert deze uit die is opgeslagen in slimme contracten op Ethereum en BNB Smart Chain.
Gegevens die in contracten zijn opgeslagen, worden vaak Base64 gecodeerd en XOR gecodeerd, waardoor het lastig is om het te detecteren tijdens automatische scans.

Als het eenmaal is uitgevoerd laden volgende fase: ONZICHTBARE FERT.JAVASCRIPT, een backdoor die extra payloads kan uitvoeren en gegevens kan stelen, zoals crypto wallets, browserextensies en lokaal opgeslagen inloggegevens.
Bovendien is de code in INVISIBLEFERRET soms verspreid over meerdere contracten, wat de complexiteit en de weerstand bij de analyse vergroot.

Social engineering – nep-banen en “ClickFix”

UNC5342's aanvallen worden gecombineerd met geavanceerde sociale engineering.
De groep staat bekend om het uitvoeren van nep-wervingscampagnes op LinkedIn en diverse wervingswebsites waar softwareontwikkelaars worden aangetrokken met aantrekkelijke baanaanbiedingen.

Wanneer slachtoffers reageren, verplaatsen aanvallers het gesprek naar Discord of Telegram en vraagt hen een “technische test” uit te voeren.
De test bestaat feitelijk uit het downloaden van een vergiftigde codebase van GitHub, die het systeem infecteert.

In andere gevallen wordt het gebruikt ClickFix-campagnes, waarbij een nepbericht beweert dat een programma moet worden bijgewerkt of gerepareerd, en de gebruiker vraagt om lokaal een opdracht uit te voeren.
Hierdoor wordt de schadelijke JavaScript-code geactiveerd en start de volledige infectieketen via de blockchain.

UNC5142 – de criminele voorganger

De cybercriminele groep UNC5142 gebruikt EtherHiding al in 2023 in verband met haar campagnes tegen WordPress-websites.
Ze injecteerden schadelijke code in plugins, thema's en databases, waardoor bezoekers werden begroet met nep-pop-ups met de tekst:

“Uw Google Chrome-versie is verouderd – voer nu een update uit.”

Deze aanvallen waren gebaseerd op het raamwerk ClearFake, later geüpgraded naar DUIDELIJKE KORTE BROEKEN, die malware rechtstreeks van slimme contracten downloadden.
GTIG heeft zijn grenzen overschreden 14.000 gecompromitteerde pagina's waar de code van UNC5142 actief is geweest.

CLEARSHORT gebruikt Web3.js, een bibliotheek die communicatie met Ethereum-knooppunten via HTTP of WebSocket mogelijk maakt.
Door verbinding te maken met openbare knooppunten, aanvallers kunnen laden hun payloads downloaden, bijwerken en uitvoeren zonder gebruik te maken van traditionele servers.

Een gedecentraliseerde malware-infrastructuur

De voordelen voor aanvallers zijn duidelijk:

• Blockchain-gegevens kunnen niet verwijderd of gewijzigd.
• De infrastructuurkosten zijn vrijwel nihil, omdat aanvallers gebruikmaken van openbare ketens.
• Code kan wereldwijd worden gedistribueerd: elk knooppunt in het netwerk kan als host fungeren.
• Identificatie via DNS-tracking of IP-blokkering verliest zijn betekenis.

Tegelijkertijd worden de uitdagingen voor de verdediger steeds groter.
De meeste beveiligingstools zijn ontworpen om bestandssystemen, e-mail, netwerkverkeer en cloudbronnen te bewaken, niet blockchain-interacties.
Dit betekent dat EtherHiding-aanvallen blijven vaak onopgemerkt, vooral in omgevingen waar ontwikkelaars zelf met smart contracts en dApp-frameworks werken.

Hoe bedrijven en overheden zichzelf kunnen beschermen

Om te verminderen het risico van dit soort aanvallen GTIG en verschillende onafhankelijke veiligheidsonderzoekers bevelen de volgende maatregelen aan:

• Controleer oproepen naar blockchain-API's en RPC-eindpunten. Registreer alle externe Web3-verzoeken die niet bedrijfskritisch zijn.
• Strikte toestemmingsniveaus invoeren zodat gebruikers lokaal geen onbevestigde scripts kunnen uitvoeren.
• Scan npm-pakketten, GitHub-repositories en afhankelijkheden van derden om schadelijke code te detecteren.
• Train ontwikkelaars en beheerders over hoe social engineering werkt, met name nep-wervingspogingen.
• Samenwerken met blockchain-aanbieders voor snelle melding van kwaadaardige contracten en sleutels.

Aanvallen zoals EtherHiding laten duidelijk zien hoe aanvallers afstappen van traditionele kwetsbaarheden en in plaats daarvan heldendaden de basis van de gedecentraliseerde economie – blockchaintechnologie – als nieuw instrument voor cybercriminaliteit.