El Malware se Muda a la Blockchain: Llega la Técnica EtherHiding

Investigadores de Google Threat Intelligence han identificado una evolución preocupante en el panorama de amenazas: grupos de hackers vinculados a estados-nación (incluido el grupo norcoreano UNC5342) están utilizando blockchains públicas de criptomonedas como Ethereum y BNB Smart Chain para alojar y distribuir malware.

Esta técnica, bautizada como EtherHiding, representa la “próxima generación de alojamiento a prueba de balas” (bulletproof hosting), ofreciendo a los atacantes una infraestructura barata e imposible de eliminar.

¿Qué Hace que la Blockchain sea “A Prueba de Balas”?

Tradicionalmente, el alojamiento bulletproof se ubicaba en países sin tratados de extradición. EtherHiding aprovecha las propiedades fundamentales de la tecnología blockchain para lograr el mismo objetivo:

  1. Inmunidad a la Eliminación: La descentralización de la blockchain y la inmutabilidad de los contratos inteligentes (pequeñas aplicaciones de código que residen en la cadena) impiden que cualquier autoridad o empresa de seguridad elimine o altere el malware alojado.
  2. Anonimato y Bajo Coste: Las transacciones en estas blockchains son anónimas, protegiendo la identidad de los atacantes. Además, crear o modificar estos contratos cuesta menos de $2 por transacción, un enorme ahorro en comparación con los métodos tradicionales.
  3. Sigilo Operacional: La recuperación del malware desde los contratos inteligentes no deja rastro en los registros de eventos de los servidores infectados.

La Cadena de Infección y la Ingeniería Social

Desde febrero, los investigadores de Google han observado a dos grupos utilizando EtherHiding para infectar a desarrolladores de servicios en línea y aplicaciones de criptomonedas.

El proceso de ataque a menudo comienza con una campaña de ingeniería social que simula un proceso de reclutamiento laboral falso. A los candidatos se les pide realizar una “prueba de código o revisión” utilizando archivos que contienen código malicioso incrustado.

El proceso de infección se lleva a cabo en varias etapas:

  1. Malware de Etapa Temprana: Se instala un malware inicial (como JadeSnow, utilizado por el grupo norcoreano UNC5342).
  2. Recuperación Segura: JadeSnow se encarga de recuperar el malware de etapa final directamente desde los contratos inteligentes alojados en Ethereum o BNB Smart Chain.
  3. Flexibilidad de Actualización: Esta técnica permite a los atacantes actualizar dinámicamente sus cargas maliciosas. Los investigadores observaron a los operadores norcoreanos cambiando la ubicación de la carga útil entre la cadena BNB y Ethereum, lo que complica el análisis forense.

Esta técnica subraya cómo los ciberdelincuentes se están adaptando rápidamente para explotar las capacidades inherentes de las nuevas tecnologías, forzando a las defensas de seguridad a evolucionar hacia soluciones de análisis dinámico de amenazas.

El artículo original que detalla la técnica EtherHiding puede consultarse en Ars Technica: Nation-state hackers deliver malware from “bulletproof” blockchains.