Оферта за отстъпка за множество лицензи
База данни за заплахи Фишинг ClearFake атака кампания

ClearFake атака кампания

До Mezo през Фишинг, Зловреден софтуер, Инструменти за отдалечено администриранег
Превод на:
български език

Актьорите на кибер заплахите зад кампанията ClearFake използват фалшиви верификации на reCAPTCHA и Cloudflare Turnstile, за да подмамят нищо неподозиращите потребители да изтеглят зловреден софтуер. Тези измамни техники се използват за разпространение на зловреден софтуер за кражба на информация, като например Lumma Stealer и Vidar Stealer .

Фалшивите актуализации на браузъра като капан за зловреден софтуер

За първи път идентифициран през юли 2023 г., ClearFake е злонамерена кампания, която се разпространява чрез компрометирани сайтове на WordPress, като използва фалшиви подкани за актуализиране на уеб браузъра, за да примами жертвите. Този метод е бил предпочитана техника за киберпрестъпници, които искат да разположат злонамерен софтуер ефективно.

Използване на EtherHiding за стелт и постоянство

Ключов аспект от веригата за заразяване на ClearFake е EtherHiding, техника, която позволява на нападателите да извлекат полезния товар от следващия етап, използвайки договорите на Binance за интелигентна верига (BSC). Този подход повишава устойчивостта на атаката чрез използване на децентрализирана блокчейн технология, което прави усилията за откриване и премахване по-предизвикателни.

Появата на ClickFix: трик за социално инженерство

До май 2024 г. ClearFake включи ClickFix, трик за социално инженерство, предназначен да подмами потребителите да изпълнят злонамерен код на PowerShell под фалшивия претекст, че коригира несъществуващ технически проблем. Тази техника помага на нападателите да получат допълнителен контрол върху системата на жертвата.

Разширени Web3 възможности в най-новия вариант на ClearFake

Последните повторения на кампанията ClearFake продължават да използват EtherHiding и ClickFix, но със забележим напредък. Тези актуализации включват:

  • По-голямо взаимодействие с Binance Smart Chain, използвайки интелигентни договорни приложни двоични интерфейси (ABI).
  • Подобрени пръстови отпечатъци на системите на жертвите, зареждане на множество JavaScript кодове и ресурси.
  • Криптиран ClickFix HTML код за избягване на анализ на сигурността.

Многоетапна атака с криптирани полезни товари

След като жертвата посети компрометиран уебсайт, атаката се развива на няколко етапа:

  • Извличане на JavaScript от Binance Smart Chain за събиране на системна информация.
  • Извличане на криптиран ClickFix скрипт от Cloudflare Pages.
  • Изпълнение на злонамерена команда на PowerShell, което води до внедряване на зловреден софтуер.

Ако жертвата продължи със злонамереното действие, се изпълнява Emmenhtal Loader (известен още като PEAKLIGHT), който в крайна сметка инсталира Lumma Stealer в системата.

Развиващи се тактики: широкомащабна заплаха

До януари 2025 г. изследователите по сигурността наблюдават нови вериги за атаки ClearFake, използващи зареждащи устройства PowerShell за инсталиране на Vidar Stealer. От миналия месец най-малко 9300 уебсайта са били компрометирани.

Нападателите непрекъснато актуализират рамката ClearFake, модифицирайки ежедневно нейните примамки, скриптове и полезни натоварвания. Зловреден софтуер сега съхранява множество ключови елементи в Binance Smart Chain, включително:

  • JavaScript код
  • AES ключове за криптиране
  • URL адреси, хостващи злонамерени примамливи файлове
  • Щракнете върху Коригирайте командите на PowerShell

Масови инфекции и широко разпространена експозиция

Мащабът на инфекциите с ClearFake е значителен и засяга огромен брой потребители по целия свят. През юли 2024 г. приблизително 200 000 уникални потребители са били потенциално изложени на ClearFake примамки, които са ги подтикнали да изтеглят зловреден софтуер.

ClickFix компрометира уебсайтове на автокъщи

Важен вектор на атака за ClickFix са уебсайтовете на автокъщи. Над 100 дилърски сайта бяха компрометирани, като зловредният софтуер SectopRAT се доставяше чрез примамки ClickFix.

Собствените уебсайтове на представителствата обаче не бяха директно заразени. Вместо това компрометът е станал чрез видеоуслуга на трета страна, която несъзнателно е хоствала компрометираната инжекция на JavaScript. Този инцидент изглежда е атака на веригата за доставки, подчертавайки рисковете, породени от уязвимостите в услугите на трети страни. Впоследствие злонамереният скрипт е премахнат от заразения сайт.

Последни мисли: постоянна и разширяваща се заплаха

Кампанията ClearFake продължава да се развива, като използва усъвършенствани техники, базирани на блокчейн, социално инженерство и многоетапни вериги за заразяване. Мащабът на неговото въздействие, с хиляди компрометирани сайтове и стотици хиляди потенциални жертви, подчертава спешната необходимост от стабилни мерки за киберсигурност за защита срещу такива сложни заплахи от зловреден софтуер.

 

Тенденция

Варианти на зловреден софтуер Sagerunex

Усъвършенствана постоянна заплаха (APT), Задни врати
Прословутата заплаха, известна като Lotus Panda, е наблюдавана да извършва кибератаки срещу правителствени, производствени, телекомуникационни и медийни сектори във Филипините, Виетнам, Хонконг и Тайван. Тези атаки включват актуализирани версии на задната врата на Sagerunex , вид злонамерен софтуер, който Lotus Panda използва поне от 2016 г. Групата APT (Advanced Persistent Threat) продължава...

Volemist.co.in

Измамни уебсайтове, Рекламен софтуер, Похитители на браузъри
В днешния дигитален пейзаж да останете бдителни срещу натрапчиви и ненадеждни програми е от решаващо значение. Потенциално нежеланите програми (PUP) може да не са толкова разрушителни, колкото...

Solvay - Измама с имейл за нови бизнес отношения

Фишинг, Спам
Дигиталната среда е пълна с възможности, но и с опасности. Киберпрестъпниците непрекъснато развиват своите тактики, изработвайки сложни схеми, които нападат както фирми, така и физически лица. Една такава измамна схема е имейл измамата „Solvay – New Business Relationships“, фишинг кампания, предназначена да събира чувствителна информация и финансови активи. Разбирането как работи тази тактика и...

Най-гледан

Зареждане...