По информации экспертов Guardio Labs, для распространения и сокрытия вредоносных программ хакеры используют смарт-контракты в сети BNB Chain.
Киберпреступники в ходе таких атак используют компрометацию веб-сайтов на платформе WordPress при помощи внедрения кода JavaScript, который после этого извлекает полезную нагрузку из контрактов на блокчейне.
Такой способ является модифицированным методом кампании ClearFake. Хакеры размещали код для второго этапа атаки на Cloudflare Workers, однако компания из США начала блокировать аккаунты, для сведения на нет все попытки взлома.
«Хакеры использовали Web3-инфраструктуру от сети BNB Chain криптобиржи Binance. Это обеспечило им почти бесплатный, по-настоящему пуленепробиваемый хостинг, поддерживаемый блокчейном», – рассказали в Guardio Labs.