Böses Javascript in Smart Contracts: Binance als Malwareschleuder mißbraucht

Kriminelle haben auf der Suche nach Möglichkeiten zur Verteilung von Malware eine neue Möglichkeit aufgetan: Eine Gruppe ist dazu übergegangen, die Blockchain als Hostingplattform zu missbrauchen und ist damit überraschend erfolgreich. Über Smart Contracts liefern die Gauner JavaScript aus, das Besuchern ein gefälschtes Browser-Update unterschiebt.

Mittels Exploits für bekannte Sicherheitslücken wie die kürzlich bekannt gewordenen Fehler in Wordpress-Templates und -Plugins übernehmen Kriminelle massenhaft Wordpress-Blogs und fügen eigenen Javascript-Code hinzu. Dieser Code leitet Besucher auf von den Gaunern kontrollierte Webseiten um und schiebt ihnen dort Malware im Gewand eines angeblichen Browser-Updates unter. Tatsächlich landet jedoch typischerweise Infostealer-Malware auf dem System, die unter anderem Passwörter und andere Zugangsdaten stiehlt.

Die notwendigen Codeschnipsel und Fake-Seiten werden üblicherweise bei sogenannten "Bulletproof-Hostern", also solchen Anbietern für Webspeicherplatz untergebracht, die nicht auf Anfragen von Rechteinhabern und Strafverfolgern reagieren. Auch das Angebot "Cloudflare Workers" des US-CDN war in der Vergangenheit bei Bösewichten beliebt, hat ihnen aber mittlerweile den Kampf angesagt.

In der Blockchain bringen die Kriminellen nun mit einem Kniff ihren Schadcode unter: Sie erstellen auf der Kryptoplattform Binance einen "Smart Contract" und fügen in diesen ihren JavaScript-Code gleichsam als Vertragstext ein. Der US-Anbieter bietet mit der "Binance Smart Chain" die Möglichkeit, derlei Elemente der Blockchain für eine geringe Gebühr automatisiert zu erstellen und dann kostenlos unbegrenzt oft abzurufen.

Kampf gegen Blockchain-Windmühlen

Der Clou: Sobald das bösartige Skript in der Blockchain gespeichert ist, ist es unveränderlich und dezentral verfügbar – es kann nicht ohne Weiteres entfernt werden. Sobald ein smarter Vertrag auf der Blockchain hinterlegt ist, können Anbieter wie Binance ihn prinzipbedingt nicht mehr stoppen. Da keine finanziellen Transaktionen über den Kontrakt abgewickelt werden, greifen auch die herkömmlichen Präventions- und Verteidigungsmaßnahmen der Krypto-Finanzindustrie nicht.

Das als "EtherHiding" bezeichnete Verfahren stellt den Blockchain-Anbieter Binance vor neue Herausforderungen. Wie der auf Cyberkriminalität spezialisierte Journalist Brian Krebs erfuhr, wandern alle mit Malware-Skripten in Verbindung stehenden Adressen auf eine schwarze Liste. Das sorgt jedoch allenfalls für Warnmeldungen auf der Binance-Website, verhindert aber nicht die Einschleusung von JavaScript. Das ist im Smart Contract unwiderruflich und störungssicher hinterlegt.

Wie es scheint, haben die digitalen Gauner somit eine Möglichkeit gefunden, vorerst unbehelligt schädliches JavaScript über die Blockchain zu verbreiten. Die IT-Sicherheitsfirma Guardio empfiehlt daher Wordpress-Admins, durch regelmäßige Updates das Risiko erfolgreicher Angriffe zu senken und liefert Listen verdächtiger Dateien mit als Browser-Update getarnter Malware in einem ausführlichen Blog-Artikel frei Haus.

(cku)