Se ha observado que un atacante con motivación financiera, con nombre en código UNC5142, explota contratos inteligentes de blockchain como una forma de facilitar la distribución de ladrones de información como Atomic (AMOS), Lumma, Rhadamanthys (también conocido como RADTHIEF) y Vidar, dirigidos a sistemas Windows y Apple macOS.
«UNC5142 se caracteriza por el uso de ‘EtherHiding’, una técnica utilizada para colocar y ocultar sitios web de WordPress comprometidos y códigos y datos maliciosos en cadenas de bloques públicas, como BNB Smart Chain», dijo Google Threat Intelligence Group (GTIG) en un informe compartido con The Hacker News.
Google anunció que, hasta junio de 2025, había marcado aproximadamente 14.000 páginas web que contenían JavaScript inyectado que mostraban un comportamiento relacionado con UNC5142 y apuntaban indiscriminadamente a sitios vulnerables de WordPress. Sin embargo, el gigante tecnológico señaló que no ha visto ninguna actividad UNC5142 desde el 23 de julio de 2025 que pudiera sugerir una suspensión o cambio en las operaciones.
EtherHiding fue documentado por primera vez por Guardio Labs en octubre de 2023, y detalla un ataque que aprovecha los contratos de Binance Smart Chain (BSC) para distribuir código malicioso a través de sitios infectados que brindan alertas falsas de actualización del navegador.
Un aspecto clave detrás de la cadena de ataque es un descargador de JavaScript de varias etapas llamado CLEARSHORT que permite la distribución de malware a través de sitios pirateados. La primera etapa es un malware JavaScript que se inyecta en un sitio web para obtener la segunda etapa interactuando con un contrato inteligente malicioso almacenado en la cadena de bloques BNB Smart Chain (BSC). La primera etapa del malware se agrega a archivos relacionados con complementos, archivos de temas y, a veces, directamente a la base de datos de WordPress.
El contrato inteligente es responsable de recuperar la página de inicio de CLEARSHORT desde un servidor externo. El servidor emplea tácticas de ingeniería social de ClickFix para engañar a las víctimas para que ejecuten comandos maliciosos en el cuadro de diálogo Ejecutar de Windows (o en la aplicación Terminal de Mac), infectando en última instancia sus sistemas con malware ladrón. Las páginas de destino generalmente se alojan en páginas .dev de Cloudflare y se recuperan en forma cifrada a partir de diciembre de 2024.
CLEARSHORT cadena de infección
En los sistemas Windows, el comando malicioso implica ejecutar un archivo de aplicación HTML (HTA) descargado desde una URL de MediaFire, luego soltar un script de PowerShell para evadir las defensas, recuperar la carga útil cifrada final de GitHub o MediaFire, o posiblemente de su propia infraestructura, y ejecutar el ladrón directamente en la memoria sin escribir artefactos en el disco.
En ataques dirigidos a macOS en febrero y abril de 2025, los atacantes utilizaron señuelos ClickFix para solicitar a los usuarios que ejecutaran comandos bash en una terminal que recuperaba scripts de shell. Luego, el script utiliza el comando curl para recuperar la carga útil de Atomic Stealer del servidor remoto.
Distribución de la carga útil final UNC5142 a lo largo del tiempo
Se considera que CLEARSHORT es una variante de ClearFake, que fue objeto de un análisis exhaustivo por parte de la empresa francesa de ciberseguridad Sekoia en marzo de 2025. ClearFake es un marco de JavaScript fraudulento que se implementa en sitios web comprometidos y distribuye malware mediante técnicas de descarga no autorizada. Se sabe que ha estado activo desde julio de 2023, con ataques que emplearon ClickFix alrededor de mayo de 2024.
La explotación de Blockchain tiene varios beneficios, ya que esta sofisticada tecnología no solo se combina con la actividad Web3 legítima, sino que también hace que las operaciones UNC5142 sean más resistentes a los esfuerzos de detección y eliminación.
Google dijo que las campañas de los atacantes han experimentado una evolución significativa durante el año pasado, pasando de un sistema de contrato único a un sistema más sofisticado de tres contratos inteligentes a partir de noviembre de 2024 para aumentar la agilidad operativa, y se observaron más mejoras a principios de enero de este año.
«Esta nueva arquitectura es una adaptación de un principio legítimo de diseño de software conocido como patrón proxy, que los desarrolladores utilizan para hacer que los contratos sean actualizables», explicó la empresa.
«Esta configuración actúa como una arquitectura de almacenamiento lógico de enrutador altamente eficiente, donde cada contrato tiene un trabajo específico. Este diseño permite que partes críticas del ataque, como las URL de las páginas de destino y las claves de descifrado, se actualicen rápidamente sin requerir ningún cambio en el JavaScript del sitio web comprometido. Como resultado, las campañas se vuelven más ágiles y más resistentes a las eliminaciones».
UNC5142 logra esto aprovechando la naturaleza mutable de los datos del contrato inteligente (tenga en cuenta que el código del programa no se puede cambiar una vez implementado) para cambiar la URL de la carga útil e incurre en una tarifa de red de $0,25 a $1,50 para realizar estas actualizaciones.
Un análisis más detallado reveló que los atacantes estaban utilizando dos conjuntos diferentes de infraestructura de contrato inteligente para entregar el malware ladrón a través del descargador CLEARSHORT. Se dice que la infraestructura principal se creó el 24 de noviembre de 2024, mientras que la infraestructura secundaria paralela se financió el 18 de febrero de 2025.
«La infraestructura principal se destaca como la infraestructura central de la campaña, caracterizada por una creación temprana y un flujo constante de actualizaciones», dijo GTIG. «La infraestructura secundaria parece un despliegue paralelo y más táctico; podría establecerse para soportar picos específicos en la actividad de campaña, probar nuevas tentaciones o simplemente desarrollar resiliencia operativa».
«Dado el ritmo operativo constante durante el último año y medio, la gran cantidad de sitios web comprometidos y la diversidad de cargas útiles de malware distribuidas, así como las frecuentes actualizaciones de la cadena de infección, creemos que UNC5142 ha logrado cierto éxito operativo».
Source link
