- 1 Attore di minaccia UNC5142: sfruttamento dei contratti smart blockchain
- 2 Compromissione di siti WordPress e tecnica EtherHiding
- 3 Documentazione di EtherHiding e attacchi con contratti BSC
- 4 Catena di attacco CLEARSHORT
- 5 Ruolo del contratto smart e tattica ClickFix
- 6 Distribuzione del payload finale su Windows e macOS
- 7 Considerazioni finali
Attore di minaccia UNC5142: sfruttamento dei contratti smart blockchain
Un attore di minaccia motivato finanziariamente, noto come UNC5142, è stato osservato mentre abusava dei contratti smart blockchain per facilitare la distribuzione di malware come Atomic (AMOS), Lumma, Rhadamanthys (RADTHIEF) e Vidar, prendendo di mira sia i sistemi Windows che Apple macOS.
Compromissione di siti WordPress e tecnica EtherHiding
UNC5142 si distingue per l’uso di siti WordPress compromessi e della tecnica EtherHiding, che consiste nell’occultare codice o dati malevoli su una blockchain pubblica, come la BNB Smart Chain. Secondo un rapporto del Google Threat Intelligence Group (GTIG), condiviso con The Hacker News, a giugno 2025 sono state segnalate circa 14.000 pagine web contenenti JavaScript iniettato, associato a UNC5142, indicando un targeting indiscriminato di siti WordPress vulnerabili. Tuttavia, non sono state rilevate attività di UNC5142 dal 23 luglio 2025, suggerendo una pausa o un cambiamento operativo.
Documentazione di EtherHiding e attacchi con contratti BSC
La tecnica EtherHiding è stata documentata per la prima volta da Guardio Labs nell’ottobre 2023, quando sono stati descritti attacchi che utilizzavano contratti della Binance Smart Chain (BSC) per servire codice malevolo tramite siti infetti che mostravano falsi avvisi di aggiornamento del browser.
Catena di attacco CLEARSHORT
Un aspetto cruciale degli attacchi è un downloader JavaScript multi-stadio chiamato CLEARSHORT, che consente la distribuzione del malware tramite i siti compromessi. Il primo stadio è un malware JavaScript inserito nei siti per recuperare il secondo stadio interagendo con un contratto smart malevolo sulla blockchain BNB Smart Chain. Questo malware iniziale viene aggiunto a file relativi ai plugin, ai temi e, in alcuni casi, direttamente nel database di WordPress.
Ruolo del contratto smart e tattica ClickFix
Il contratto smart è responsabile del recupero di una pagina di destinazione CLEARSHORT da un server esterno, che utilizza la tattica di ingegneria sociale ClickFix per ingannare le vittime a eseguire comandi malevoli nel dialogo Esegui di Windows (o nell’app Terminale su Mac), infettando infine il sistema con malware stealer. Le pagine di destinazione, solitamente ospitate su una pagina .dev di Cloudflare, vengono recuperate in formato crittografato a partire da dicembre 2024.
Distribuzione del payload finale su Windows e macOS
Su sistemi Windows, il comando malevolo prevede l’esecuzione di un file HTML Application (HTA) scaricato da un URL di MediaFire, che poi esegue uno script PowerShell per aggirare le difese, recuperare il payload finale crittografato da GitHub o MediaFire, o dalla loro infrastruttura, e eseguire lo stealer direttamente in memoria senza scrivere l’artefatto su disco.
Negli attacchi su macOS, a febbraio e aprile 2025, gli aggressori hanno utilizzato esche ClickFix per indurre l’utente a eseguire un comando bash su Terminale che recuperava uno script shell. Lo script successivamente utilizza il comando curl per ottenere il payload Atomic Stealer dal server remoto.
Considerazioni finali
La sofisticazione delle tecniche utilizzate da UNC5142, come l’uso di contratti smart blockchain e la tecnica EtherHiding, evidenzia l’evoluzione delle minacce informatiche. La capacità di adattarsi e sfruttare nuove tecnologie per scopi malevoli rappresenta una sfida continua per la sicurezza informatica. È essenziale che gli utenti e le organizzazioni rimangano vigili e adottino misure proattive per proteggere i propri sistemi da tali minacce emergenti.
Fonte: The Hackers News
