Google identifica técnica “EtherHiding” usada por hackers norte-coreanos para roubo de criptomoedas

Oferta - Clique na Imagem

São Paulo, 25 de abril de 2024 – O Grupo de Inteligência de Ameaças do Google (TAG) revelou que agentes ligados à Coreia do Norte estão explorando um método chamado EtherHiding para distribuir malware e extrair criptomoedas e dados sigilosos de usuários.

Como funciona a técnica

Detectada pela primeira vez em 2023, a abordagem insere pacotes de código malicioso diretamente em contratos inteligentes hospedados em redes públicas de blockchain. O ataque segue estas etapas:

• Hackers assumem o controle de um endereço de site legítimo por meio de um Loader Script.
• O script injeta JavaScript na página, que aciona outro código armazenado no contrato inteligente.
• A página comprometida consulta o blockchain por meio de funções somente leitura, evitando a criação de transações on-chain, reduzindo custos e dificultando a detecção.

Uso combinado com engenharia social

Segundo o Google, o EtherHiding costuma ser acompanhado de armadilhas de engenharia social. Criminosos montam empresas fictícias, agências de recrutamento ou perfis profissionais falsos para abordar desenvolvedores de software e especialistas em criptomoedas.

O contato inicial leva a supostas entrevistas ou ofertas de emprego. Depois, a conversa migra para plataformas como Discord ou Telegram, onde a vítima recebe “testes técnicos” ou tarefas de programação. Esses testes contêm arquivos hospedados em repositórios como o GitHub, carregados com o primeiro estágio do malware.

Imagem: Trader Iniciante 2 (17)

Cadeia de infecção em múltiplas fases

• Primeira fase: o usuário baixa arquivos contaminados sob o pretexto de completar um desafio ou atualizar um sistema.
• Segunda fase: arquivos maliciosos instalam o JADESNOW, malware baseado em JavaScript projetado para coletar informações sensíveis.
• Terceira fase (alvos de alto valor): ferramentas adicionais garantem acesso prolongado a máquinas e redes conectadas.

Alerta para a comunidade cripto

Os pesquisadores ressaltam a necessidade de maior vigilância contra golpes que miram indivíduos e organizações ligadas a ativos digitais. A combinação de código escondido em smart contracts e táticas de persuasão online amplia o alcance e a sofisticação dos ataques.

O Google não divulgou números de vítimas, mas reforçou que desenvolvedores e investidores devem redobrar cuidados ao receber ofertas de trabalho inesperadas, baixar anexos de fontes externas ou interagir com sites que solicitam atualizações de segurança.