Rabattilbud med flere licenser
Trusseldatabase Phishing ClearFake angrebskampagne

ClearFake angrebskampagne

Med Mezo i Phishing, Malware, Fjernadministrationsværktøjer
Oversæt til:
Dansk

Aktørerne bag cybertruslen bag ClearFake-kampagnen har brugt falske reCAPTCHA- og Cloudflare Turnstile-verifikationer til at narre intetanende brugere til at downloade malware. Disse vildledende teknikker bruges til at distribuere informationstjælende malware såsom Lumma Stealer og Vidar Stealer .

Falske browseropdateringer som en malwarefælde

ClearFake, som først blev identificeret i juli 2023, er en ondsindet kampagne, der spredes gennem kompromitterede WordPress-websteder, ved at bruge falske webbrowseropdateringer til at lokke ofre. Denne metode har været en yndet teknik for cyberkriminelle, der ønsker at implementere malware effektivt.

Udnyttelse af EtherHiding til stealth og persistens

Et centralt aspekt af ClearFakes infektionskæde er EtherHiding, en teknik, der gør det muligt for angribere at hente næste trins nyttelast ved hjælp af Binances Smart Chain (BSC) kontrakter. Denne tilgang øger modstandsdygtigheden af angrebet ved at udnytte decentraliseret blockchain-teknologi, hvilket gør detektions- og fjernelsesarbejde mere udfordrende.

Fremkomsten af ClickFix: A Social Engineering Ploy

I maj 2024 havde ClearFake inkorporeret ClickFix, et socialt ingeniør-trick designet til at narre brugere til at udføre ondsindet PowerShell-kode under det falske påskud af at rette et ikke-eksisterende teknisk problem. Denne teknik hjælper angribere med at få yderligere kontrol over ofrets system.

Avancerede Web3-funktioner i ClearFakes seneste variant

De seneste iterationer af ClearFake-kampagnen fortsætter med at anvende EtherHiding og ClickFix, men med bemærkelsesværdige fremskridt. Disse opdateringer omfatter:

  • Større interaktion med Binance Smart Chain ved hjælp af smart contract Application Binary Interfaces (ABI'er).
  • Forbedret fingeraftryk af ofres systemer, indlæsning af flere JavaScript-koder og ressourcer.
  • Krypteret ClickFix HTML-kode for at undgå sikkerhedsanalyse.

Et flertrinsangreb med krypteret nyttelast

Når et offer besøger et kompromitteret websted, udfolder angrebet sig i flere faser:

  • Hentning af JavaScript fra Binance Smart Chain for at indsamle systemoplysninger.
  • Henter et krypteret ClickFix-script fra Cloudflare Pages.
  • Udførelse af en ondsindet PowerShell-kommando, der fører til malware-implementering.

Hvis offeret fortsætter med den ondsindede handling, udføres Emmenhtal Loader (alias PEAKLIGHT), som i sidste ende installerer Lumma Stealer på systemet.

Evolving Tactics: En storstilet trussel

I januar 2025 observerede sikkerhedsforskere nye ClearFake-angrebskæder, der brugte PowerShell-loadere til at installere Vidar Stealer. Fra sidste måned er mindst 9.300 websteder blevet kompromitteret.

Angribere opdaterer løbende ClearFake-rammeværket og ændrer dets lokker, scripts og nyttelast dagligt. Malwaren gemmer nu flere nøgleelementer i Binance Smart Chain, herunder:

  • JavaScript-kode
  • AES krypteringsnøgler
  • URL'er, der hoster ondsindede lokkefiler
  • Klik påFix PowerShell-kommandoer

Masseinfektioner og udbredt eksponering

Omfanget af ClearFake-infektioner er betydeligt og påvirker et stort antal brugere verden over. I juli 2024 blev cirka 200.000 unikke brugere potentielt udsat for ClearFake lokkemidler, der fik dem til at downloade malware.

ClickFix kompromitterer autoforhandlerwebsteder

En væsentlig angrebsvektor for ClickFix har været autoforhandlerwebsteder. Over 100 forhandlerwebsteder blev kompromitteret, hvor SectopRAT-malwaren blev leveret via ClickFix-lokker.

Forhandlernes egne hjemmesider var dog ikke direkte inficeret. I stedet for kom kompromiset gennem en tredjeparts videotjeneste, der ubevidst var vært for den kompromitterede JavaScript-injektion. Denne hændelse ser ud til at være et forsyningskædeangreb, der fremhæver de risici, der er forbundet med sårbarheder i tredjepartstjenester. Det ondsindede script er siden blevet fjernet fra det inficerede websted.

Sidste tanker: En vedvarende og voksende trussel

ClearFake-kampagnen fortsætter med at udvikle sig og udnytter avancerede blockchain-baserede teknikker, social engineering og infektionskæder i flere stadier. Omfanget af dets indvirkning, med tusindvis af kompromitterede websteder og hundredtusindvis af potentielle ofre, understreger det presserende behov for robuste cybersikkerhedsforanstaltninger for at forsvare sig mod sådanne sofistikerede malwaretrusler.

 

Trending

Mest sete

Indlæser...