研究人员发现了一起新型的以太远控木马活动,利用以太坊智能合约隐藏其指挥与控制基础设施。该行动在一次 2026 年 3 月的事件响应中在零售行业被观察到,入侵者在取得初始访问后部署了一个基于 JavaScript 的后门程序。以太远控木马实现远程命令执行、广泛的系统数据收集,以及窃取加密货币钱包和云端凭证。一个引人注目的技术,被称为“以太隐藏”,将指挥与控制地址存储在以太坊智能合约中,以低成本轮换基础设施并抵御取缔。
调查人员观察到多种初始进入方式,包括通过微软 Teams 进行的 ClickFix 攻击和 IT 支持诈骗,随后是 QuickAssist 远程访问。在 ClickFix 场景中,攻击者通过间接命令执行,借助 Windows 系统工具来执行恶意脚本,以规避安全限制。感染链包含若干阶段,包括加密载荷与混淆脚本,最终导致以太远控木马的部署,并通过 Windows 注册表键实现持久化。
安装后,以太远控木马使用公开的远程过程调用提供商从以太坊智能合约获取指挥与控制地址,然后以设计成类似正常内容分发网络请求的流量与其服务器通信,以便在合法流量中实现伪装。报告建议禁用某些 Windows 实用工具、培训员工识别 IT 支持诈骗,并阻断攻击者常用的加密货币远程过程调用提供商。它还会检查系统语言设置,若检测到某些 CIS 区域语言则自我删除。
发表评论