Monen lisenssin alennustarjous
Uhatietokanta Tietojenkalastelu ClearFake Attack -kampanja

ClearFake Attack -kampanja

Vuonna Mezo vuonna Tietojenkalastelu, Haittaohjelma, Etähallintatyökalut
Käännä:
Suomi

ClearFake-kampanjan takana olevat kyberuhkatoimijat ovat käyttäneet väärennettyjä reCAPTCHA- ja Cloudflare Turnstile -tarkistuksia huijatakseen hyväuskoisia käyttäjiä lataamaan haittaohjelmia. Näitä petollisia tekniikoita käytetään levittämään tietoja varastavia haittaohjelmia, kuten Lumma Stealer ja Vidar Stealer .

Väärennetyt selainpäivitykset haittaohjelmien ansana

Heinäkuussa 2023 ensimmäisen kerran tunnistettu ClearFake on haitallinen kampanja, joka leviää vaarantuneiden WordPress-sivustojen kautta käyttämällä väärennettyjä verkkoselaimen päivityskehotteita uhrien houkuttelemiseksi. Tämä menetelmä on ollut suosittu tekniikka verkkorikollisille, jotka haluavat ottaa haittaohjelmia käyttöön tehokkaasti.

EtherHidingin hyödyntäminen varkain ja pysyvyyden takaamiseksi

ClearFaken tartuntaketjun keskeinen osa on EtherHiding, tekniikka, jonka avulla hyökkääjät voivat noutaa seuraavan vaiheen hyötykuorman Binancen Smart Chain (BSC) -sopimusten avulla. Tämä lähestymistapa parantaa hyökkäyksen kestävyyttä hyödyntämällä hajautettua lohkoketjuteknologiaa, mikä tekee havaitsemisesta ja poistamisesta haastavampaa.

ClickFixin ilmaantuminen: Sosiaalisen suunnittelun juoni

Toukokuuhun 2024 mennessä ClearFake oli sisällyttänyt ClickFixin, sosiaalisen suunnittelun tempun, joka oli suunniteltu huijaamaan käyttäjiä suorittamaan haitallista PowerShell-koodia virheellisesti olemattoman teknisen ongelman korjaamiseksi. Tämä tekniikka auttaa hyökkääjiä hallitsemaan uhrin järjestelmää.

Edistyneet Web3-ominaisuudet ClearFaken uusimmassa versiossa

ClearFake-kampanjan uusimmat iteraatiot käyttävät edelleen EtherHidingia ja ClickFixiä, mutta huomattavia edistysaskeleita. Näitä päivityksiä ovat mm.

  • Parempi vuorovaikutus Binance Smart Chainin kanssa älykkäiden sopimusten binaariliitäntöjen (ABI) avulla.
  • Tehostettu sormenjälkien otto uhrien järjestelmistä, useiden JavaScript-koodien ja resurssien lataaminen.
  • Salattu ClickFix HTML-koodi suojausanalyysin välttämiseksi.

Monivaiheinen hyökkäys salatuilla hyötykuormilla

Kun uhri vierailee vaarantuneella verkkosivustolla, hyökkäys etenee useissa vaiheissa:

  • JavaScriptin haku Binance Smart Chainista järjestelmätietojen keräämiseksi.
  • Salatun ClickFix-skriptin hakeminen Cloudflare Pagesista.
  • Haitallisen PowerShell-komennon suorittaminen, mikä johtaa haittaohjelmien käyttöönottoon.

Jos uhri jatkaa haitallista toimintaa, Emmenhtal Loader (alias PEAKLIGHT) suoritetaan, joka lopulta asentaa Lumma Stealerin järjestelmään.

Kehittyvät taktiikat: laajamittainen uhka

Tammikuuhun 2025 mennessä tietoturvatutkijat havaitsivat uusia ClearFake-hyökkäysketjuja, jotka käyttivät PowerShell-lataajia Vidar Stealer -sovelluksen asentamiseen. Viime kuuhun mennessä ainakin 9 300 verkkosivustoa on vaarantunut.

Hyökkääjät päivittävät jatkuvasti ClearFake-kehystä ja muokkaavat sen vieheitä, komentosarjoja ja hyötykuormia päivittäin. Haittaohjelma tallentaa nyt useita keskeisiä elementtejä Binance Smart Chainissa, mukaan lukien:

  • JavaScript-koodi
  • AES-salausavaimet
  • Haitallisia houkutustiedostoja isännöivät URL-osoitteet
  • Napsauta Korjaa PowerShell-komennot

Joukkoinfektiot ja laajalle levinnyt altistuminen

ClearFake-infektioiden laajuus on merkittävä, ja se vaikuttaa suureen määrään käyttäjiä maailmanlaajuisesti. Heinäkuussa 2024 noin 200 000 yksilöllistä käyttäjää altistui mahdollisesti ClearFake-uistimille, jotka saivat heidät lataamaan haittaohjelmia.

ClickFix vaarantaa autokauppiaiden verkkosivustot

Merkittävä ClickFixin hyökkäysvektori on ollut autokauppojen verkkosivustot. Yli 100 jälleenmyyntisivustoa vaarantui, ja SectopRAT-haittaohjelma toimitettiin ClickFix-uistimien kautta.

Jälleenmyyjien omat verkkosivustot eivät kuitenkaan saaneet suoraan tartuntaa. Sen sijaan kompromissi tapahtui kolmannen osapuolen videopalvelun kautta, joka tietämättään isännöi vaarantunutta JavaScript-injektiota. Tämä tapaus näyttää olevan toimitusketjun hyökkäys, joka korostaa kolmansien osapuolten palveluiden haavoittuvuuksien aiheuttamia riskejä. Haitallinen komentosarja on sittemmin poistettu tartunnan saaneelta sivustolta.

Viimeiset ajatukset: jatkuva ja laajeneva uhka

ClearFake-kampanja kehittyy edelleen hyödyntäen kehittyneitä lohkoketjupohjaisia tekniikoita, sosiaalista suunnittelua ja monivaiheisia infektioketjuja. Sen vaikutusten laajuus, tuhansia vaarantuneita sivustoja ja satojatuhansia mahdollisia uhreja, korostaa, että tarvitaan kiireesti vankkoja kyberturvallisuustoimenpiteitä suojautuakseen tällaisia kehittyneitä haittaohjelmauhkia vastaan.

 

Trendaavat

Sagerunexin haittaohjelmaversiot

Advanced Persistent Threat (APT), Takaovet
Pahamaineisen uhkatekijän, joka tunnetaan nimellä Lotus Panda, on havaittu käynnistävän kyberhyökkäyksiä hallitusta, valmistusta, televiestintä- ja mediasektoreita vastaan Filippiineillä, Vietnamissa, Hongkongissa ja Taiwanissa. Nämä hyökkäykset koskevat päivitettyjä versioita Sagerunex- takaovesta, haittaohjelmakannasta, jota Lotus Panda on hyödyntänyt ainakin vuodesta 2016 lähtien. APT...

Solvay - Uusien liikesuhteiden sähköpostihuijaus

Tietojenkalastelu, Roskaposti
Digitaalinen maisema on täynnä mahdollisuuksia – mutta myös vaaroja. Kyberrikolliset kehittävät jatkuvasti taktiikkaansa ja kehittävät kehittyneitä suunnitelmia, jotka saalistavat niin yrityksiä kuin yksityishenkilöitäkin. Yksi tällainen petollinen järjestelmä on Solvay - New Business Relationships -sähköpostihuijaus, tietojenkalastelukampanja, joka on suunniteltu keräämään arkaluonteisia...

Eniten katsottu

Ladataan...