Slevová nabídka pro více licencí
Databáze hrozeb Phishing Kampaň ClearFake Attack

Kampaň ClearFake Attack

V roce Mezo v roce Phishing, Malware, Nástroje pro vzdálenou správu
Přeložit do:
Čeština

Aktéři kybernetických hrozeb, kteří stojí za kampaní ClearFake, používají falešné ověřování reCAPTCHA a Cloudflare Turnstile, aby přiměli nic netušící uživatele ke stažení malwaru. Tyto podvodné techniky se používají k distribuci malwaru kradoucího informace, jako je Lumma Stealer a Vidar Stealer .

Falešné aktualizace prohlížeče jako past na malware

ClearFake, poprvé identifikovaná v červenci 2023, je škodlivá kampaň, která se šíří prostřednictvím kompromitovaných webů WordPress pomocí falešných výzev k aktualizaci webového prohlížeče, aby nalákala oběti. Tato metoda je oblíbenou technikou pro kyberzločince, kteří chtějí efektivně nasadit malware.

Využití EtherHiding pro utajení a vytrvalost

Klíčovým aspektem infekčního řetězce ClearFake je EtherHiding, technika, která útočníkům umožňuje získat další fázi pomocí kontraktů Binance Smart Chain (BSC). Tento přístup zvyšuje odolnost útoku tím, že využívá decentralizovanou technologii blockchain, což ztěžuje odhalování a odstraňování.

Vznik ClickFix: trik sociálního inženýrství

Do května 2024 společnost ClearFake začlenila ClickFix, trik sociálního inženýrství navržený tak, aby oklamal uživatele, aby spustili škodlivý kód PowerShell pod falešnou záminkou, že opraví neexistující technický problém. Tato technika pomáhá útočníkům získat další kontrolu nad systémem oběti.

Pokročilé možnosti Web3 v nejnovější variantě ClearFake

Nejnovější iterace kampaně ClearFake nadále využívají EtherHiding a ClickFix, ale s výraznými pokroky. Mezi tyto aktualizace patří:

  • Větší interakce s Binance Smart Chain pomocí inteligentních kontraktových aplikačních binárních rozhraní (ABI).
  • Vylepšené snímání otisků prstů systémů obětí, načítání více kódů a zdrojů JavaScriptu.
  • Šifrovaný kód ClickFix HTML, aby se vyhnul bezpečnostní analýze.

Vícefázový útok s šifrovaným nákladem

Jakmile oběť navštíví napadený web, útok se rozvine v několika fázích:

  • Získávání JavaScriptu z Binance Smart Chain pro shromažďování systémových informací.
  • Načítání zašifrovaného skriptu ClickFix ze stránek Cloudflare.
  • Provedení škodlivého příkazu PowerShell vedoucí k nasazení malwaru.

Pokud oběť pokračuje ve škodlivé akci, spustí se Emmenhtal Loader (aka PEAKLIGHT), který nakonec nainstaluje Lumma Stealer do systému.

Vyvíjející se taktika: Rozsáhlá hrozba

V lednu 2025 zaznamenali bezpečnostní výzkumníci nové řetězce útoků ClearFake využívající zavaděče PowerShell k instalaci Vidar Stealer. K minulému měsíci bylo napadeno nejméně 9 300 webových stránek.

Útočníci neustále aktualizují rámec ClearFake a denně upravují jeho návnady, skripty a užitečné zatížení. Malware nyní ukládá několik klíčových prvků v rámci Binance Smart Chain, včetně:

  • JavaScript kód
  • AES šifrovací klíče
  • Adresy URL hostující soubory se škodlivými návnadami
  • Klepněte na příkaz Opravit PowerShell

Hromadné infekce a rozsáhlá expozice

Rozsah infekcí ClearFake je významný a postihuje velké množství uživatelů po celém světě. V červenci 2024 bylo přibližně 200 000 unikátních uživatelů potenciálně vystaveno lákadlům ClearFake, které je přiměly ke stažení malwaru.

ClickFix kompromituje webové stránky autobazarů

Významným vektorem útoku pro ClickFix byly webové stránky prodejců automobilů. Bylo napadeno více než 100 obchodních míst, přičemž malware SectopRAT byl dodán prostřednictvím návnad ClickFix.

Vlastní webové stránky prodejců však nebyly přímo infikovány. Místo toho ke kompromitaci došlo prostřednictvím video služby třetí strany, která nevědomky hostila kompromitovanou injekci JavaScriptu. Tento incident se zdá být útokem na dodavatelský řetězec, který upozorňuje na rizika, která představují zranitelnosti ve službách třetích stran. Škodlivý skript byl mezitím z infikovaného webu odstraněn.

Závěrečné myšlenky: Trvalá a rozšiřující se hrozba

Kampaň ClearFake se nadále vyvíjí a využívá pokročilé techniky založené na blockchainu, sociální inženýrství a vícefázové infekční řetězce. Rozsah jeho dopadu s tisíci kompromitovanými weby a stovkami tisíc potenciálních obětí podtrhuje naléhavou potřebu robustních opatření kybernetické bezpečnosti na obranu proti tak sofistikovaným malwarovým hrozbám.

 

Trendy

Varianty malwaru Sagerunex

Pokročilá trvalá hrozba (APT), Zadní vrátka
Notoricky známý aktér hrozby známý jako Lotus Panda byl pozorován při kybernetických útokech na vládní, výrobní, telekomunikační a mediální sektory na Filipínách, Vietnamu, Hongkongu a Tchaj-wanu. Tyto útoky zahrnují aktualizované verze zadních vrátek Sagerunex , kmen malwaru, který Lotus Panda využívá minimálně od roku 2016. Skupina APT (Advanced Persistent Threat) pokračuje ve zdokonalování...

Solvay – E-mailový podvod s novými obchodními vztahy

Phishing, Spam
Digitální krajina je plná příležitostí, ale také nebezpečí. Kyberzločinci neustále vyvíjejí své taktiky a vymýšlejí sofistikovaná schémata, která jsou kořistí podniků i jednotlivců. Jedním z takových podvodných schémat je e-mailový podvod „Solvay – New Business Relationships“, phishingová kampaň navržená za účelem shromažďování citlivých informací a finančních aktiv. Pochopení toho, jak tato...

Nejvíce shlédnuto

Načítání...