Cybersécurité : comment les attaquants détournent les chaînes de blocs

En juin 2024, les équipes de Proofpoint documentaient la technique d’infection dite « ClickFix ». Elle avait été observée quelques mois plus tôt dans des campagnes d’hameçonnage par e-mail orchestrées par le courtier en accès initiaux TA571.

Ces campagnes s’appuyaient alors principalement sur des fichiers HTML déguisés en documents Word, affichant une fausse fenêtre d’erreur qui incitait les utilisateurs à installer des logiciels malveillants tels que Matanbuchus, DarkGate ou NetSupport RAT.

Mais il y avait plus : « dans les campagnes observées, lorsqu’un utilisateur visitait un site web compromis, l’injection provoquait le chargement par le site web d’un script malveillant hébergé sur la blockchain via les contrats Smart Chain de Binance, une technique connue sous le nom d’“EtherHiding” », expliquait ainsi Proofpoint en juin 2024.

Apparue à l’automne 2023, dans le cadre des campagnes dites « ClearFake », cette technique « exploitait les contrats intelligents de la Binance Smart Chain pour obtenir la deuxième charge utile JavaScript. Pour ce faire, l’opérateur ClearFake a stocké un JavaScript obscurci, encodé en base 64 et converti en hexadécimal, dans l’interface binaire d’application d’un contrat intelligent. Pour cela, le framework malveillant a utilisé la bibliothèque ethers.js pour interagir avec la blockchain Ethereum », expliquent les chercheurs de l’équipe TDR de Sekoia.io. 

Pour les attaquants, cette technique ne manque pas d’avantages : elle exploite l’immuabilité et la disponibilité des blockchains pour une persistance résiliente, rendant les mises à jour de campagnes possibles via une seule transaction à faible coût. Elle évite en outre les serveurs de commande et de contrôle (C2) traditionnels, complique la détection par les outils de sécurité et permet une exécution conditionnelle.

Quelques mois plus tard, les acteurs malveillants impliqués ont ajusté leur mode opératoire : « en juin 2024, ClearFake continuait à s’appuyer sur le code JavaScript stocké dans la blockchain Ethereum. Cependant, le framework malveillant fonctionnait en moins d’étapes. Le script injecté dans les sites web compromis contactait directement la Binance Smart Chain pour récupérer la charge utile de la phase suivante, éliminant ainsi certaines charges utiles intermédiaires », expliquent encore les chercheurs du Français Sekoia.io.

Une nouvelle étape a été franchie depuis. C’est en septembre que les équipes du Ransom-ISAC et de Crystal Intelligence se sont penchées sur un dépôt privé malicieux sur GitHub : « nous l’avons analysé dans un environnement sandbox afin de déterminer toutes ses capacités, mettant ainsi au jour un réseau complexe d’obfuscation JavaScript, de référentiels générés par IA et une nouvelle technique de commande et contrôle (C2) ».

Cette technique « exploite le TxDataHiding basé sur Tron/Aptos, où les requêtes RPC renvoient des données via des métadonnées de transaction inter-chaînes ». Elle s’avère « particulièrement efficace, car elle est extrêmement difficile à tracer, en particulier dans des environnements d’analyse isolés, et l’attaquant peut modifier les valeurs TxData à tout moment. De plus, elle ne se limite pas à Tron ou Aptos, mais n’importe quelle blockchain peut servir de pointeur ».

Le « TxDataHiding » ? Cette technique « intègre des charges utiles malveillantes dans les données d’entrée (calldata) des transactions blockchain elles-mêmes. Ces charges utiles sont récupérées en interrogeant les données historiques des transactions à l’aide de méthodes telles que eth_getTransactionByHash ».

Là, donc, pas besoin de contrat intelligent : « les données malveillantes résident simplement dans l’historique immuable des transactions enregistrées sur la blockchain ». Des variants spécifiques à certaines chaînes existent. Mais, « l’évolution la plus avancée de cette technique est le Cross-Chain TxDataHiding, qui exploite plusieurs réseaux blockchain dans une chaîne d’attaque coordonnée ».

Là, une première chaîne est utilisée « comme un système d’index ou de pointeur (généralement TRON ou Aptos), stockant une référence à un hachage de transaction sur une deuxième blockchain (généralement BSC) ». La charge utile chiffrée réelle sera extraite à partir des données de transaction sur cette seconde chaîne.

Pour le Ransom-ISAC, « cette approche multichaînes augmente considérablement la résilience face aux efforts de démantèlement, car l’infrastructure d’attaque s’étend sur plusieurs réseaux décentralisés avec des structures de gouvernance et des distributions géographiques différentes ».

Qui plus est, « la méthodologie cross-chain offre une redondance intégrée grâce à plusieurs nœuds de secours et des chemins blockchain alternatifs, ce qui rend la détection et l’atténuation beaucoup plus difficiles pour les équipes de sécurité ».