Дослідники з Source Defense виявили масштабну цифрову кампанію з використанням Ethereum-блокчейну як командно-контрольної інфраструктури. Зловмисники використовують смарт-контракти Ethereum для управління шкідливими ресурсами замість традиційних хостинг-провайдерів, що дозволяє швидко змінювати сервери та домени. Такий підхід ускладнює для команд безпеки та правоохоронних органів зупинити інфраструктуру за допомогою звичайних процедур ліквідації. Кампанія демонструє, як технологія блокчейн може бути використана для підвищення стійкості злочинних операцій проти традиційних методів знищення, а також ускладнює виявлення крадіжки платіжних карт.
Дослідники виявили понад 15 смарт-контрактів Ethereum, що підтримують скоординовану кампанію цифрового скімінгу, спрямовану на онлайн-магазини. У рамках розслідування встановлено, що кампанія включає кілька скоординованих груп інфраструктури та десятки пов’язаних доменів. Після активації шкідливе програмне забезпечення розгортає просунутий скіммер для збору платіжних даних під час онлайн-оплати.
На відміну від звичайних атак Magecart, що вставляють шкідливі домени безпосередньо у зламані сайти, ця кампанія зберігає маршрутизаційну інформацію всередині смарт-контрактів Ethereum. Зламані сайти отримують активні дані інфраструктури з блокчейну перед завантаженням другого етапу шкідливого коду. Зловмисне програмне забезпечення, за повідомленнями, замінює легітимні платіжні інтерфейси на переконливі копії, створені для збору платіжних даних клієнтів, особистої інформації та даних пристроїв, а потім передає викрадену інформацію зловмисникам.
Такий децентралізований підхід дозволяє зловмисникам змінювати інфраструктуру без зміни шкідливого коду в заражених сайтах, що підвищує гнучкість операцій і зменшує ймовірність виявлення. Source Defense зазначає, що інфраструктура на основі блокчейну дає кіберзлочинцям ефективний спосіб уникнути традиційних засобів безпеки, оскільки немає централізованого хостинг-провайдера, на якого можна тиснути для видалення шкідливих сервісів.
Дослідники повідомили, що зловмисники розробили методи, здатні обходити традиційні заходи безпеки платіжних систем, що підкреслює обмеження залежності від відповідності стандарту PCI DSS 4.0. Організації, що обробляють платіжні дані, мають дотримуватися вимог PCI DSS 4.0, зокрема впроваджувати багатофакторну автентифікацію. Однак дослідники зазначають, що зловмисники демонструють здатність обходити деякі захисти та рекомендації стандарту.
Стівен Вард, директор з маркетингу Source Defense, зазначив, що багато організацій ще не повністю впровадили PCI DSS 4.0, незважаючи на його обов’язковий статус для продавців платіжних карт. Він додав, що рівень застосування правил може варіюватися через те, що відповідальні за дотримання вимог організації мають комерційні зв’язки з продавцями, що може зменшувати їхню готовність застосовувати суворі санкції.
Звіт стверджує, що безпека клієнтської сторони залишається недостатньо уваги у багатьох компаніях. За словами дослідників, нерівномірне впровадження заходів безпеки та зосередженість на регуляторних вимогах, а не на комплексній кібербезпеці, залишають багато платформ електронної комерції вразливими до все більш витончених атак.
Децентралізована природа мереж блокчейну створює додаткові труднощі для фахівців з кібербезпеки, які намагаються зірвати поточні атаки. Вард рекомендує командам безпеки готуватися до ширшого впровадження технологій блокчейну кіберзлочинцями. Він зазначає, що з поширенням блокчейн-платформ у злочинних операціях атаки, ймовірно, стануть частішими та більш витонченими, що ускладнить їхнє знищення.
Хоча ступінь використання зловмисниками блокчейн-інфраструктури залишається невизначеним, дослідники припускають, що посилення міжнародної співпраці правоохоронних органів може стимулювати зловмисників переходити до децентралізованих технологій, що є більш стійкими до ліквідації. Вони зазначають, що досягнення у штучному інтелекті можуть з часом покращити ідентифікацію шкідливої інфраструктури, але попереджають, що зловмисники й надалі будуть використовувати анонімність і стійкість блокчейну в найближчому майбутньому.
Результати досліджень свідчать, що децентралізована інфраструктура на основі блокчейну може зробити майбутні кіберзлочинні операції більш стійкими, змушуючи команду безпеки застосовувати більш просунуті методи виявлення, включно з аналізом загроз за допомогою штучного інтелекту.
Що виявили дослідники Source Defense щодо кампанії скімінгу Magecart?
Дослідники виявили масштабну цифрову кампанію скімінгу, що використовує понад 15 смарт-контрактів Ethereum як командно-контрольну інфраструктуру. Кампанія спрямована на онлайн-магазини і використовує технології блокчейн для управління шкідливими ресурсами, що дозволяє зловмисникам швидко змінювати сервери та домени, уникаючи звичайних процедур ліквідації.
Як ця кампанія обходить заходи безпеки PCI DSS 4.0?
Дослідники повідомили, що зловмисники розробили методи, здатні обходити традиційні заходи безпеки платіжних систем, встановлені стандартом PCI DSS 4.0. Шкідливе ПЗ замінює легітимні платіжні інтерфейси на копії, що збирають платіжні дані, особисту інформацію та дані пристроїв. Вони зазначають, що еволюція методів атак демонструє здатність обходити деякі захисти та рекомендації стандарту, що підкреслює обмеження залежності.
Чому інфраструктура на основі блокчейну важка для зупинки правоохоронцями?
Інфраструктура на основі блокчейну не має централізованого хостинг-провайдера, якого можна тиснути для видалення шкідливих сервісів. Децентралізована природа мереж створює додаткові труднощі для кіберфахівців, що намагаються зірвати атаки. Зловмисники можуть змінювати інфраструктуру без зміни шкідливого коду в заражених сайтах, що підвищує гнучкість операцій і зменшує ймовірність виявлення.
Пов’язані новини
Індустрія криптовалют готується до загрози квантових обчислень для шифрування блокчейну
Кенійська CMA закуповує систему блокчейн-моніторингу для контролю за криптовалютами
Bitmine купує $70M Ethereum, запаси досягають 5,74 мільйона ETH
Прогноз Ethereum: у фокусі відновлення ключової підтримки