Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Andmepüük ClearFake Attack kampaania

ClearFake Attack kampaania

Aastaks Mezo aastal Andmepüük, Pahavara, Kaughaldustööriistad
Tõlgi:
Eesti

ClearFake'i kampaania taga olevad küberohtude osalejad on kasutanud võltsitud reCAPTCHA ja Cloudflare Turnstile'i kinnitusi, et meelitada pahaaimamatuid kasutajaid pahavara alla laadima. Neid petlikke tehnikaid kasutatakse teabevarastava pahavara (nt Lumma Stealer ja Vidar Stealer) levitamiseks.

Võltsbrauseri värskendused kui pahavaralõks

Esmakordselt 2023. aasta juulis tuvastatud ClearFake on pahatahtlik kampaania, mis levib ohustatud WordPressi saitide kaudu, kasutades ohvrite meelitamiseks võltsitud veebibrauseri värskendusviipasid. See meetod on olnud eelistatud tehnika küberkurjategijate jaoks, kes soovivad pahavara tõhusalt juurutada.

EtherHidingi kasutamine varguse ja püsivuse tagamiseks

ClearFake'i nakkusahela võtmeaspektiks on EtherHiding, tehnika, mis võimaldab ründajatel Binance'i nutika ahela (BSC) lepingute abil tuua järgmise etapi kasuliku koormuse. See lähenemisviis suurendab rünnaku vastupanuvõimet, võimendades detsentraliseeritud plokiahela tehnoloogiat, muutes tuvastamise ja eemaldamise jõupingutused keerukamaks.

ClickFixi tekkimine: sotsiaalse inseneri võte

2024. aasta maiks oli ClearFake lisanud ClickFixi – sotsiaalse insener-tehnilise triki, mille eesmärk oli petta kasutajaid pahatahtlikku PowerShelli koodi käivitama, tuues ettekäändel olematu tehnilise probleemi parandamise. See tehnika aitab ründajatel saada täiendavat kontrolli ohvri süsteemi üle.

Täiustatud Web3 võimalused ClearFake’i uusimas variandis

ClearFake'i kampaania viimastes iteratsioonides kasutatakse jätkuvalt EtherHidingit ja ClickFixi, kuid märkimisväärsete edusammudega. Need värskendused hõlmavad järgmist:

  • Suurem suhtlus Binance Smart Chainiga, kasutades nutikaid lepingulisi rakenduste binaarliideseid (ABI).
  • Ohvrite süsteemide täiustatud sõrmejälgede võtmine, mitme JavaScripti koodi ja ressursi laadimine.
  • Krüpteeritud ClickFix HTML-kood turvaanalüüsist kõrvalehoidmiseks.

Mitmeastmeline rünnak krüpteeritud kasulike koormustega

Kui ohver külastab ohustatud veebisaiti, kulgeb rünnak mitmes etapis:

  • JavaScripti hankimine Binance Smart Chainist süsteemiteabe kogumiseks.
  • Krüpteeritud ClickFixi skripti toomine Cloudflare'i lehtedelt.
  • Pahatahtliku PowerShelli käsu täitmine, mis viib pahavara juurutamiseni.

Kui ohver jätkab pahatahtlikku tegevust, käivitatakse Emmenhtal Loader (teise nimega PEAKLIGHT), mis lõpuks installib süsteemi Lumma Stealeri.

Arenev taktika: laiaulatuslik oht

2025. aasta jaanuariks jälgisid turvateadlased uusi ClearFake'i rünnakukette, mis kasutasid Vidar Stealeri installimiseks PowerShelli laadureid. Eelmise kuu seisuga on ohustatud vähemalt 9300 veebisaiti.

Ründajad värskendavad pidevalt ClearFake'i raamistikku, muutes selle lante, skripte ja kasulikke koormusi iga päev. Pahavara salvestab nüüd Binance Smart Chaini mitu põhielementi, sealhulgas:

  • JavaScripti kood
  • AES krüpteerimisvõtmed
  • Pahatahtlikke peibutusfaile hostivad URL-id
  • Klõpsake nuppu Fix PowerShelli käsud

Massilised infektsioonid ja laialdane kokkupuude

ClearFake'i nakkuste ulatus on märkimisväärne, mõjutades suurt hulka kasutajaid kogu maailmas. 2024. aasta juulis puutus umbes 200 000 unikaalset kasutajat potentsiaalselt kokku ClearFake'i lantidega, mis ajendasid neid pahavara alla laadima.

ClickFix seab ohtu automüüjate veebisaidid

ClickFixi oluliseks rünnakuvektoriks on olnud automüüjate veebisaidid. Üle 100 edasimüüjate saidi ohustati, SectopRAT-i pahavara tarniti ClickFixi lantide kaudu.

Esinduste enda veebisaidid aga otseselt nakatunud ei olnud. Selle asemel tekkis kompromiss kolmanda osapoole videoteenuse kaudu, mis teadmatult hostis ohustatud JavaScripti süsti. See juhtum näib olevat tarneahela rünnak, mis toob esile riskid, mis tulenevad kolmandate osapoolte teenuste haavatavusest. Pahatahtlik skript on nüüdseks nakatunud saidilt eemaldatud.

Viimased mõtted: püsiv ja laienev oht

ClearFake'i kampaania areneb edasi, kasutades täiustatud plokiahelal põhinevaid tehnikaid, sotsiaalset manipuleerimist ja mitmeastmelisi nakkusahelaid. Selle mõju ulatus koos tuhandete ohustatud saitide ja sadade tuhandete potentsiaalsete ohvritega rõhutab tungivat vajadust tugevate küberjulgeolekumeetmete järele, et kaitsta end selliste keerukate pahavaraohtude eest.

 

Trendikas

Enim vaadatud

Laadimine...