Unc5142

O grupo de ameaças UNC5142, motivado financeiramente, tem explorado contratos inteligentes de blockchain para disseminar malwares como Atomic, Lumma e Vidar, visando sistemas Windows e macOS. Segundo o Google Threat Intelligence Group, essa técnica, chamada ‘EtherHiding’, permite que o código malicioso seja ocultado em blockchains públicas, como a BNB Smart Chain. Desde junho de 2025, cerca de 14.000 páginas da web com JavaScript injetado foram identificadas, indicando um ataque indiscriminado a sites WordPress vulneráveis. O ataque utiliza um downloader JavaScript chamado CLEARSHORT, que baixa o malware em várias etapas, utilizando contratos inteligentes para buscar páginas de aterrissagem maliciosas. As vítimas são induzidas a executar comandos que instalam o malware em seus sistemas. A evolução das táticas do grupo inclui uma arquitetura de três contratos inteligentes, permitindo atualizações rápidas e maior resistência a ações de mitigação. Embora não tenha sido detectada atividade do UNC5142 desde julho de 2025, a técnica de abuso de blockchain representa um risco significativo para a segurança cibernética, especialmente em um cenário onde a tecnologia Web3 está em ascensão.