کمپین حمله ClearFake

عوامل تهدید سایبری در پشت کمپین ClearFake از تأییدیه‌های جعلی reCAPTCHA و Cloudflare Turnstile برای فریب کاربران ناآگاه برای دانلود بدافزار استفاده می‌کنند. این تکنیک‌های فریبنده برای توزیع بدافزارهای سرقت اطلاعات مانند Lumma Stealer و Vidar Stealer استفاده می‌شوند.

به روز رسانی جعلی مرورگر به عنوان یک دام بدافزار

ClearFake اولین بار در جولای 2023 شناسایی شد، یک کمپین مخرب است که از طریق سایت‌های وردپرس در معرض خطر پخش می‌شود و با استفاده از درخواست‌های به‌روزرسانی جعلی مرورگر وب، قربانیان را فریب می‌دهد. این روش یک تکنیک مورد علاقه برای مجرمان سایبری بوده است که به دنبال استقرار بدافزار به طور کارآمد هستند.

استفاده از EtherHiding برای پنهان کاری و پایداری

یکی از جنبه‌های کلیدی زنجیره عفونت ClearFake، EtherHiding است، تکنیکی که به مهاجمان اجازه می‌دهد تا با استفاده از قراردادهای زنجیره هوشمند (BSC) بایننس، محموله مرحله بعدی را دریافت کنند. این رویکرد با استفاده از فناوری بلاک چین غیرمتمرکز، انعطاف پذیری حمله را افزایش می دهد و تلاش های شناسایی و حذف را چالش برانگیزتر می کند.

ظهور ClickFix: یک ترفند مهندسی اجتماعی

تا ماه مه 2024، ClearFake یک ترفند مهندسی اجتماعی ClickFix را به کار گرفت که برای فریب دادن کاربران به اجرای کدهای مخرب PowerShell به بهانه نادرست رفع یک مشکل فنی غیرموجود طراحی شده بود. این تکنیک به مهاجمان کمک می کند تا کنترل بیشتری بر سیستم قربانی داشته باشند.

قابلیت های پیشرفته Web3 در آخرین نوع ClearFake

آخرین نسخه های کمپین ClearFake همچنان از EtherHiding و ClickFix استفاده می کنند، اما با پیشرفت های قابل توجه. این به روز رسانی ها عبارتند از:

• تعامل بیشتر با Binance Smart Chain، با استفاده از قراردادهای هوشمند Application Binary Interfaces (ABIs).
• اثرانگشت پیشرفته سیستم های قربانیان، بارگیری کدها و منابع چندگانه جاوا اسکریپت.
• کد HTML ClickFix رمزگذاری شده برای فرار از تجزیه و تحلیل امنیتی.

یک حمله چند مرحله ای با بارهای رمزگذاری شده

هنگامی که قربانی از یک وب سایت در معرض خطر بازدید می کند، حمله در چند مرحله آشکار می شود:

اگر قربانی اقدام مخرب را انجام دهد، بارگذار Emmenhtal (معروف به PEAKLIGHT) اجرا می شود که در نهایت Lumma Stealer را روی سیستم نصب می کند.

تاکتیک های در حال تحول: تهدیدی در مقیاس بزرگ

تا ژانویه 2025، محققان امنیتی زنجیره‌های حمله جدید ClearFake را مشاهده کردند که از لودرهای PowerShell برای نصب Vidar Stealer استفاده می‌کردند. تا ماه گذشته، حداقل 9300 وب سایت در معرض خطر قرار گرفته اند.

مهاجمان به‌طور مداوم چارچوب ClearFake را به‌روزرسانی می‌کنند و فریب‌ها، اسکریپت‌ها و بارهای آن را روزانه تغییر می‌دهند. این بدافزار اکنون چندین عنصر کلیدی را در زنجیره هوشمند Binance ذخیره می‌کند، از جمله:

• کد جاوا اسکریپت
• کلیدهای رمزگذاری AES
• نشانی‌های اینترنتی میزبان فایل‌های فریبنده مخرب
• دستورات ClickFix PowerShell

عفونت های انبوه و قرار گرفتن در معرض گسترده

مقیاس آلودگی ClearFake قابل توجه است و بر تعداد زیادی از کاربران در سراسر جهان تأثیر می گذارد. در جولای 2024، تقریباً 200000 کاربر منحصر به فرد به طور بالقوه در معرض فریب های ClearFake قرار گرفتند که آنها را وادار به دانلود بدافزار کرد.

ClickFix وب سایت های فروش خودرو را به خطر می اندازد

یک بردار حمله قابل توجه برای ClickFix، وب سایت های نمایندگی خودرو بوده است. بیش از 100 سایت نمایندگی در معرض خطر قرار گرفتند و بدافزار SectopRAT از طریق فریب های ClickFix تحویل داده شد.

با این حال، وب سایت های خود نمایندگی ها مستقیماً آلوده نشده بودند. در عوض، مصالحه از طریق یک سرویس ویدئویی شخص ثالث که ناآگاهانه میزبان تزریق جاوا اسکریپت به خطر افتاده بود، رخ داد. به نظر می‌رسد این حادثه یک حمله زنجیره تامین باشد که خطرات ناشی از آسیب‌پذیری‌ها در خدمات شخص ثالث را برجسته می‌کند. اسکریپت مخرب از آن زمان از سایت آلوده حذف شده است.

افکار نهایی: یک تهدید مداوم و در حال گسترش

کمپین ClearFake همچنان به تکامل خود ادامه می دهد و از تکنیک های پیشرفته مبتنی بر بلاک چین، مهندسی اجتماعی و زنجیره های عفونت چند مرحله ای استفاده می کند. مقیاس تأثیر آن، با هزاران سایت در معرض خطر و صدها هزار قربانی بالقوه، بر نیاز فوری به اقدامات امنیتی سایبری قوی برای دفاع در برابر چنین تهدیدات بدافزار پیچیده ای تأکید می کند.