Hackers usan sitios como Softonic para distribuir malware alojado en BNB Chain

La empresa de ciberseguridad Guardio Labs presentó una nueva amenaza que se está dispersando en internet. Se trata de software malicioso que se aloja en contratos inteligentes de BNB Chain (red ex Binance Smart Chain) y se distribuye mediante sitios web pirateados, como la popular plataforma de descargas Softonic.

Según el informe elaborado por Nati Tal y Oleg Zaytsev, la ventaja que proporciona el uso de redes como BNB Chain es que, al ser descentralizadas, no se puede borrar el código malicioso introducido en sus contratos inteligentes. De este modo, se diferencian de servidores centralizados como CloudFlare Worker, cuyo contenido puede ser dado de baja por los administradores de forma unilateral.

“EtherHiding”, tal y como se denomina esta amenaza de reciente aparición, utiliza la red BNB Chain para esconder su código malicioso. Como se explica en la sección educativa de CriptoNoticias, esta es una red descentralizada —que en sus inicios estuvo ligada al exchange Binance— en la que las personas pueden realizar transacciones de criptomonedas y ejecutar programas llamados “contratos inteligentes”.

Estos contratos pueden usarse para cosas buenas, como protocolos de finanzas descentralizadas (DeFi) y aplicaciones descentralizadas (dApps). Sin embargo, los ciberdelincuentes los están utilizando de manera maliciosa en esta amenaza.

En los últimos dos meses, estos atacantes aprovecharon sitios web de WordPress y sus plugins con políticas de seguridad débiles que fueron previamente hackeados. Lo que hacen es engañar a las personas que visitan estos sitios haciéndoles creer que necesitan actualizar su navegador web. Sin embargo, en lugar de una actualización legítima, lo que descargan es un programa malicioso que puede robarles información personal de sus dispositivos.

Más detalles sobre EtherHiding

Lo que hace que esta amenaza sea especialmente difícil de detener es el método que se usa para esconder y alojar su código. En lugar de alojarlo en un lugar normal, se guarda en BNB Chain, que es como un lugar seguro para ellos. Esto implica que es difícil para las autoridades o las empresas de ciberseguridad eliminar ese código malicioso.

El proceso de ataque conlleva que, cuando alguien visita uno de estos sitios web de WordPress comprometidos, el sitio se comunica con BNB Chain y recupera el código malicioso. Esto sucede sin que la persona que visita el sitio se dé cuenta, y el código que se ejecuta en su computadora puede dar acceso a los hackers a robar sus datos.

Esto es lo que vemos en este ataque: el código malicioso se aloja y se sirve de una manera que no se puede bloquear. A diferencia de alojarlo en un servicio de Cloudflare Worker, como se hizo en la variante anterior. Realmente, es una espada de doble filo en la tecnología descentralizada.

Nati Tal, Oleg Zaytsev (Guardio Labs).

El problema con esta amenaza es que es muy difícil de detener debido a la forma en que utilizan la tecnología de contabilidad distribuida (blockchain) y los contratos inteligentes. Los desarrolladores de redes descentralizadas no siempre pueden simplemente apagar estos contratos, lo que complica la lucha contra esta amenaza. De hecho, en 2022 BNB Chain fue la red más utilizada para estafas con tokens, reveló un informe.

Prevención frente al EtherHiding

El EtherHiding, amenaza que basa su nombre en la red Ethereum, pero usa su análoga BNB Chain por sus costos operativos más bajos, implica un enfoque multidisciplinario para su prevención.

Aunque el informe de Guardio Labs no menciona una metodología específica para evitar caer en este tipo de hackeos, se pueden aplicar recomendaciones generales para estos casos. Aquí se incluyen prácticas como la monitorización constante de sitios web (y de los plugins que usan procesadores como WordPress), la actualización de software y complementos, la implementación de contraseñas seguras y, finalmente, la educación sobre seguridad en línea.