Domenica 05 Luglio 2026 19:16:41 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Malware e botnet

Quando il malware inizia ad affittare spazio su una blockchain

Pubblicato: 28 Maggio 2026 16:00Categoria: Malware e botnetAutore: IRONQUERY

L'uso di EtherHiding da parte di ClearFake su smart contract della testnet di BNB Smart Chain mostra come l'archiviazione on-chain possa complicare la caccia all'infrastruttura di comando e controllo.

Un modello di malware fin troppo familiare viene piegato in qualcosa di più difficile da individuare: le istruzioni che un tempo risiedevano su un server ora vengono nascoste all'interno di smart contract. Nel caso ClearFake, ciò significa che il livello di controllo non è più solo un dominio o un host che un difensore può sequestrare. Fa parte di un flusso di lavoro blockchain che può essere più resiliente di una configurazione C2 convenzionale, anche se non è davvero intoccabile.

Dati rapidi

  • Secondo quanto riportato, ClearFake sta usando EtherHiding per archiviare istruzioni di payload malevolo negli smart contract della testnet di BNB Smart Chain.
  • La tecnica sposta una parte del comando e controllo lontano dai server tradizionali e verso l'infrastruttura blockchain.
  • I flussi di lavoro in stile EtherHiding possono recuperare le istruzioni tramite letture della blockchain invece che con evidenti richieste ai server.
  • BNB Smart Chain è compatibile con EVM, il che riduce l'attrito per gli avversari che usano strumenti in stile Ethereum.
  • L'uso della testnet non dimostra un fine innocuo; può comunque contare quando è collegato ad attività sospette di loader.

Perché è tecnicamente rilevante

Gli smart contract sono programmi pubblici distribuiti on-chain. Proprio questa natura pubblica li rende utili per abusi: una volta che le istruzioni vengono archiviate lì, il malware può interrogarle senza affidarsi a un singolo server web esposto come punto di guasto unico. In un modello EtherHiding, il sito compromesso o il loader lato browser diventano il primo passaggio, poi la blockchain diventa il punto di recupero per la fase successiva.

Questo non rende la chain magica. Dipende comunque dalla consegna off-chain, dall'esecuzione nel browser e dall'accesso all'infrastruttura RPC della blockchain. Ma rende meno efficace il takedown tradizionale. I team di sicurezza possono bloccare un dominio o rimuovere un host; non possono semplicemente cancellare un contratto pubblico da una rete distribuita. Dal punto di vista difensivo, questo sposta la caccia da un indirizzo C2 visibile a una serie di segnali più deboli distribuiti tra log web, comportamento del client, richieste RPC e attività dei contratti.

Anche l'uso della testnet BSC merita attenzione. La documentazione di BNB Smart Chain indica che la testnet è pensata per lo sviluppo e usa chain ID 97 con tBNB, ma le reti di test possono comunque essere abusate perché sono economiche, accessibili e compatibili con strumenti ampiamente utilizzati. Il punto chiave non è che il traffico della testnet sia sempre malevolo. Il punto chiave è che un comportamento sospetto del loader insieme a letture blockchain inaspettate non dovrebbe più essere trattato come un caso limite.

Per i difensori, la lezione pratica è osservare JavaScript iniettato, pagine di aggiornamento false, traffico RPC originato dal browser e lookup dei contratti che coincidono con caricamenti di pagina sospetti. La compromissione web resta il punto di ingresso; la blockchain è il nascondiglio. È questa separazione a rendere la tecnica operativamente scomoda e analiticamente importante.

Al momento della scrittura, le informazioni disponibili supportano un'analisi del rischio, non l'affermazione che il C2 basato su blockchain sia invincibile o che ogni interazione con la testnet sia ostile.

Conclusione

La lezione più ampia è semplice: gli aggressori non devono inventare un nuovo payload ogni volta che vogliono un piano di controllo più difficile da colpire. A volte devono solo spostare le istruzioni in un luogo che i difensori sono meno preparati a ispezionare. Il pattern EtherHiding di ClearFake mostra che l'infrastruttura blockchain può diventare parte della logistica del malware e che la visibilità, non solo il takedown, è ormai il vero campo di battaglia.

TECHCROOK

Hardware firewall: Utile per aggiungere un livello gestito di ispezione e filtraggio della rete. Un piccolo hardware firewall può aiutare a segmentare i dispositivi, registrare connessioni in uscita insolite e semplificare le regole sul traffico del browser, DNS e accesso remoto.

Scheda Techcrook: Hardware firewall

WIKICROOK

  • Command-and-Control (C2): L'infrastruttura che gli aggressori usano per impartire istruzioni ai sistemi compromessi.
  • EtherHiding: Una tecnica che memorizza istruzioni correlate al malware negli smart contract blockchain.
  • Smart contract: Un programma distribuito su una blockchain che esegue il proprio codice ed è accessibile pubblicamente.
  • JSON-RPC: Un protocollo usato dai client per comunicare con i nodi blockchain e interrogare i dati della chain.
  • Compatibilità EVM: Supporto per strumenti e contratti in stile Ethereum su blockchain che implementano lo stesso modello di esecuzione.