Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Phishing Campanya ClearFake Attack

Campanya ClearFake Attack

El Mezo el Phishing, Programari maliciós, Eines d'administració remota
Traduir a:
Català

Els actors de l'amenaça cibernètica darrere de la campanya ClearFake han estat utilitzant verificacions falses de reCAPTCHA i Cloudflare Turnstile per enganyar usuaris desprevinguts perquè baixin programari maliciós. Aquestes tècniques enganyoses s'utilitzen per distribuir programari maliciós que roba informació, com ara Lumma Stealer i Vidar Stealer .

Actualitzacions falses del navegador com a trampa de programari maliciós

Identificada per primera vegada el juliol de 2023, ClearFake és una campanya maliciosa que s'estén a través de llocs de WordPress compromesos, utilitzant instruccions d'actualització falses del navegador web per atraure les víctimes. Aquest mètode ha estat una tècnica preferida per als ciberdelinqüents que busquen desplegar programari maliciós de manera eficient.

Aprofitant EtherHiding per a la sigil·lació i la persistència

Un aspecte clau de la cadena d'infecció de ClearFake és EtherHiding, una tècnica que permet als atacants obtenir la càrrega útil de la següent etapa mitjançant els contractes de la cadena intel·ligent (BSC) de Binance. Aquest enfocament millora la resistència de l'atac aprofitant la tecnologia blockchain descentralitzada, fent que els esforços de detecció i retirada siguin més difícils.

L’aparició de ClickFix: una trama d’enginyeria social

El maig de 2024, ClearFake havia incorporat ClickFix, un truc d'enginyeria social dissenyat per enganyar els usuaris perquè executessin codi PowerShell maliciós amb la falsa pretensió de solucionar un problema tècnic inexistent. Aquesta tècnica ajuda els atacants a obtenir més control sobre el sistema de la víctima.

Funcions avançades de Web3 a l’última variant de ClearFake

Les últimes iteracions de la campanya ClearFake continuen utilitzant EtherHiding i ClickFix, però amb avenços notables. Aquestes actualitzacions inclouen:

  • Major interacció amb Binance Smart Chain, mitjançant interfícies binàries d'aplicacions (ABI) de contracte intel·ligent.
  • Millora de les empremtes digitals dels sistemes de les víctimes, carregant diversos codis i recursos JavaScript.
  • Codi HTML ClickFix xifrat per evadir l'anàlisi de seguretat.

Un atac en diverses etapes amb càrregues útils xifrades

Una vegada que una víctima visita un lloc web compromès, l'atac es desenvolupa en diverses etapes:

  • Recuperació de JavaScript de Binance Smart Chain per recopilar informació del sistema.
  • Obtenció d'un script ClickFix xifrat de Cloudflare Pages.
  • Execució d'una ordre maliciosa de PowerShell, que condueix al desplegament de programari maliciós.

Si la víctima continua amb l'acció maliciosa, s'executa l'Emmenhtal Loader (també conegut com PEAKLIGHT), que finalment instal·la Lumma Stealer al sistema.

Tàctiques en evolució: una amenaça a gran escala

Al gener de 2025, els investigadors de seguretat van observar noves cadenes d'atac ClearFake que utilitzaven carregadors de PowerShell per instal·lar Vidar Stealer. El mes passat, almenys 9.300 llocs web s'han vist compromesos.

Els atacants actualitzen contínuament el marc ClearFake, modificant els seus esquers, scripts i càrregues útils diàriament. El programari maliciós ara emmagatzema diversos elements clau dins de Binance Smart Chain, com ara:

  • codi JavaScript
  • Claus de xifratge AES
  • URL que allotgen fitxers d'atraccions maliciosos
  • Feu clic a Fixar les ordres de PowerShell

Infeccions massives i exposició generalitzada

L'escala de les infeccions de ClearFake és important, i afecta un gran nombre d'usuaris a tot el món. El juliol de 2024, aproximadament 200.000 usuaris únics estaven potencialment exposats a esquers ClearFake que els van impulsar a descarregar programari maliciós.

ClickFix compromet els llocs web dels concessionaris d’automòbils

Un vector d'atac important per a ClickFix han estat els llocs web de concessionaris d'automòbils. Més de 100 llocs de concessionaris es van veure compromesos, i el programari maliciós SectopRAT es va lliurar mitjançant esquers ClickFix.

Tanmateix, els llocs web dels propis concessionaris no estaven infectats directament. En canvi, el compromís es va produir mitjançant un servei de vídeo de tercers que, sense saber-ho, allotjava la injecció de JavaScript compromesa. Aquest incident sembla ser un atac a la cadena de subministrament, posant de manifest els riscos que plantegen les vulnerabilitats en serveis de tercers. L'script maliciós s'ha eliminat des del lloc infectat.

Pensaments finals: una amenaça persistent i en expansió

La campanya ClearFake continua evolucionant, aprofitant tècniques avançades basades en blockchain, enginyeria social i cadenes d'infecció en diverses etapes. L'escala del seu impacte, amb milers de llocs compromesos i centenars de milers de víctimes potencials, subratlla la necessitat urgent de mesures sòlides de ciberseguretat per defensar-se d'aquestes amenaces tan sofisticades de programari maliciós.

 

Tendència

Variants de programari maliciós de Sagerunex

Amenaça persistent avançada (APT), Portes del darrere
S'ha observat que el famós actor d'amenaça conegut com a Lotus Panda llança ciberatacs als sectors governamentals, de fabricació, de telecomunicacions i de mitjans de comunicació a les Filipines, Vietnam, Hong Kong i Taiwan. Aquests atacs impliquen versions actualitzades de la porta del darrere de Sagerunex , una varietat de programari maliciós que Lotus Panda ha estat aprofitant almenys des...

Més vist

Carregant...