Εκστρατεία ClearFake Attack
Οι φορείς απειλών στον κυβερνοχώρο πίσω από την καμπάνια ClearFake χρησιμοποιούν πλαστές επαληθεύσεις reCAPTCHA και Cloudflare Turnstile για να ξεγελάσουν ανυποψίαστους χρήστες ώστε να κατεβάσουν κακόβουλο λογισμικό. Αυτές οι παραπλανητικές τεχνικές χρησιμοποιούνται για τη διανομή κακόβουλου λογισμικού που κλέβει πληροφορίες όπως το Lumma Stealer και το Vidar Stealer .
Πίνακας περιεχομένων
Ψεύτικες ενημερώσεις προγράμματος περιήγησης ως παγίδα κακόβουλου λογισμικού
Εντοπίστηκε για πρώτη φορά τον Ιούλιο του 2023, η ClearFake είναι μια κακόβουλη καμπάνια που εξαπλώνεται μέσω παραβιασμένων ιστοτόπων WordPress, χρησιμοποιώντας πλαστά μηνύματα ενημέρωσης προγράμματος περιήγησης ιστού για να δελεάσουν τα θύματα. Αυτή η μέθοδος ήταν μια ευνοημένη τεχνική για εγκληματίες του κυβερνοχώρου που θέλουν να αναπτύξουν αποτελεσματικά κακόβουλο λογισμικό.
Αξιοποιώντας το EtherHiding για Stealth και Persistence
Μια βασική πτυχή της αλυσίδας μόλυνσης του ClearFake είναι το EtherHiding, μια τεχνική που επιτρέπει στους εισβολείς να ανακτήσουν το ωφέλιμο φορτίο επόμενου σταδίου χρησιμοποιώντας συμβόλαια Smart Chain (BSC) της Binance. Αυτή η προσέγγιση ενισχύει την ανθεκτικότητα της επίθεσης αξιοποιώντας την αποκεντρωμένη τεχνολογία blockchain, καθιστώντας τις προσπάθειες εντοπισμού και κατάργησης πιο προκλητικές.
The Emergence of ClickFix: A Social Engineering Ploy
Μέχρι τον Μάιο του 2024, το ClearFake είχε ενσωματώσει το ClickFix, ένα τέχνασμα κοινωνικής μηχανικής που σχεδιάστηκε για να εξαπατήσει τους χρήστες να εκτελέσουν κακόβουλο κώδικα PowerShell με το ψευδές πρόσχημα της διόρθωσης ενός ανύπαρκτου τεχνικού ζητήματος. Αυτή η τεχνική βοηθά τους επιτιθέμενους να αποκτήσουν περαιτέρω έλεγχο στο σύστημα του θύματος.
Προηγμένες δυνατότητες Web3 στην τελευταία παραλλαγή του ClearFake
Οι τελευταίες επαναλήψεις της καμπάνιας ClearFake συνεχίζουν να χρησιμοποιούν το EtherHiding και το ClickFix, αλλά με αξιοσημείωτες εξελίξεις. Αυτές οι ενημερώσεις περιλαμβάνουν:
- Μεγαλύτερη αλληλεπίδραση με την έξυπνη αλυσίδα Binance, χρησιμοποιώντας δυαδικές διεπαφές εφαρμογής έξυπνων συμβολαίων (ABI).
- Βελτιωμένη λήψη δακτυλικών αποτυπωμάτων των συστημάτων των θυμάτων, φόρτωση πολλαπλών κωδικών JavaScript και πόρων.
- Κρυπτογραφημένος κώδικας ClickFix HTML για αποφυγή ανάλυσης ασφαλείας.
Μια επίθεση πολλαπλών σταδίων με κρυπτογραφημένα ωφέλιμα φορτία
Μόλις ένα θύμα επισκεφτεί έναν παραβιασμένο ιστότοπο, η επίθεση εκτυλίσσεται σε διάφορα στάδια:
Εάν το θύμα προχωρήσει στην κακόβουλη ενέργεια, εκτελείται το Emmenhtal Loader (γνωστό και ως PEAKLIGHT), το οποίο τελικά εγκαθιστά το Lumma Stealer στο σύστημα.
Εξελισσόμενες τακτικές: Απειλή μεγάλης κλίμακας
Μέχρι τον Ιανουάριο του 2025, οι ερευνητές ασφαλείας παρατήρησαν νέες αλυσίδες επίθεσης ClearFake που χρησιμοποιούν φορτωτές PowerShell για την εγκατάσταση του Vidar Stealer. Από τον περασμένο μήνα, τουλάχιστον 9.300 ιστότοποι έχουν παραβιαστεί.
Οι επιτιθέμενοι ενημερώνουν συνεχώς το πλαίσιο ClearFake, τροποποιώντας καθημερινά τα θέλγητρα, τα σενάρια και τα ωφέλιμα φορτία του. Το κακόβουλο λογισμικό αποθηκεύει πλέον πολλά βασικά στοιχεία στο Binance Smart Chain, όπως:
- Κώδικας JavaScript
- Κλειδιά κρυπτογράφησης AES
- Διευθύνσεις URL που φιλοξενούν κακόβουλα αρχεία δέλεαρ
- Κάντε κλικΔιόρθωση εντολών PowerShell
Μαζικές λοιμώξεις και ευρεία έκθεση
Η κλίμακα των μολύνσεων ClearFake είναι σημαντική, επηρεάζοντας έναν τεράστιο αριθμό χρηστών παγκοσμίως. Τον Ιούλιο του 2024, περίπου 200.000 μοναδικοί χρήστες εκτέθηκαν δυνητικά σε δέλεαρ ClearFake που τους ώθησαν να κατεβάσουν κακόβουλο λογισμικό.
Το ClickFix υπονομεύει τους ιστότοπους της αυτόματης αντιπροσωπείας
Ένας σημαντικός φορέας επίθεσης για το ClickFix ήταν οι ιστότοποι αντιπροσωπειών αυτοκινήτων. Πάνω από 100 ιστότοποι αντιπροσωπειών παραβιάστηκαν, με το κακόβουλο λογισμικό SectopRAT να παραδίδεται μέσω δολωμάτων ClickFix.
Ωστόσο, οι ιστότοποι των αντιπροσωπειών δεν μολύνθηκαν άμεσα. Αντίθετα, ο συμβιβασμός προέκυψε μέσω μιας υπηρεσίας βίντεο τρίτου μέρους που φιλοξενούσε εν αγνοία της την παραβιασμένη ένεση JavaScript. Αυτό το περιστατικό φαίνεται να είναι επίθεση στην αλυσίδα εφοδιασμού, υπογραμμίζοντας τους κινδύνους που ενέχουν τα τρωτά σημεία σε υπηρεσίες τρίτων. Το κακόβουλο σενάριο έχει αφαιρεθεί από τον μολυσμένο ιστότοπο.
Τελικές σκέψεις: Μια επίμονη και επεκτεινόμενη απειλή
Η καμπάνια ClearFake συνεχίζει να εξελίσσεται, αξιοποιώντας προηγμένες τεχνικές που βασίζονται σε blockchain, κοινωνική μηχανική και αλυσίδες μόλυνσης πολλαπλών σταδίων. Η κλίμακα του αντίκτυπού του, με χιλιάδες παραβιασμένους ιστότοπους και εκατοντάδες χιλιάδες πιθανά θύματα, υπογραμμίζει την επείγουσα ανάγκη για ισχυρά μέτρα κυβερνοασφάλειας για την άμυνα έναντι τέτοιων εξελιγμένων απειλών κακόβουλου λογισμικού.
