מסע תקיפות ClearFake

שחקני איומי הסייבר מאחורי קמפיין ClearFake השתמשו באימותי reCAPTCHA ו-Cloudflare Turnstile מזויפים כדי להערים על משתמשים תמימים להוריד תוכנות זדוניות. טכניקות מטעות אלו משמשות להפצת תוכנות זדוניות גונבות מידע כגון Lumma Stealer ו- Vidar Stealer .

עדכוני דפדפן מזויפים כמלכודת תוכנה זדונית

זוהה לראשונה ביולי 2023, ClearFake הוא מסע פרסום זדוני שמתפשט דרך אתרי וורדפרס שנפגעו, תוך שימוש בהנחיות מזויפות לעדכון דפדפן אינטרנט כדי לפתות קורבנות. שיטה זו הייתה טכניקה מועדפת עבור פושעי סייבר המעוניינים לפרוס תוכנות זדוניות ביעילות.

מינוף EtherHiding להתגנבות והתמדה

היבט מרכזי בשרשרת ההדבקה של ClearFake הוא EtherHiding, טכניקה המאפשרת לתוקפים להביא את המטען הבא באמצעות חוזי ה-Smart Chain (BSC) של Binance. גישה זו משפרת את חוסנה של המתקפה על ידי מינוף טכנולוגיית בלוקצ'יין מבוזרת, מה שהופך את מאמצי הזיהוי וההסרה למאתגרים יותר.

הופעתו של ClickFix: תכסיס הנדסה חברתית

עד מאי 2024, ClearFake שילבה את ClickFix, טריק הנדסי חברתי שנועד להונות משתמשים לבצע קוד PowerShell זדוני בתואנת שווא של תיקון בעיה טכנית לא קיימת. טכניקה זו מסייעת לתוקפים להשיג שליטה נוספת על המערכת של הקורבן.

יכולות Web3 מתקדמות בגרסה האחרונה של ClearFake

האיטרציות האחרונות של מסע הפרסום ClearFake ממשיכות להפעיל את EtherHiding ו- ClickFix, אך עם התקדמות בולטים. עדכונים אלה כוללים:

• אינטראקציה רבה יותר עם Binance Smart Chain, באמצעות ממשקים בינאריים של יישומים חכמים (ABI).
• טביעת אצבע משופרת של מערכות הקורבנות, טעינת קודי JavaScript ומשאבים מרובים.
• קוד HTML מוצפן ClickFix כדי להתחמק מניתוח אבטחה.

התקפה רב-שלבית עם מטענים מוצפנים

ברגע שקורבן מבקר באתר אינטרנט שנפגע, המתקפה מתפתחת במספר שלבים:

• אחזור JavaScript מ- Binance Smart Chain לאיסוף מידע מערכת.

• שליפת סקריפט ClickFix מוצפן מ-Cloudflare Pages.

• ביצוע פקודת PowerShell זדונית, המובילה לפריסת תוכנות זדוניות.

אם הקורבן ממשיך בפעולה הזדונית, ה-Emmenhtal Loader (המכונה PEAKLIGHT) מבוצע, אשר בסופו של דבר מתקין את Lumma Stealer במערכת.

טקטיקות מתפתחות: איום בקנה מידה גדול

עד ינואר 2025, חוקרי אבטחה צפו בשרשראות תקיפות חדשות של ClearFake המשתמשות במעמיסי PowerShell כדי להתקין את Vidar Stealer. נכון לחודש שעבר, לפחות 9,300 אתרים נפרצו.

התוקפים מעדכנים ללא הרף את מסגרת ClearFake, ומשנים את הפתיונות, הסקריפטים והמטענים שלה מדי יום. התוכנה הזדונית מאחסנת כעת מספר אלמנטים מרכזיים בתוך Binance Smart Chain, כולל:

• קוד JavaScript
• מפתחות הצפנה AES
• כתובות URL המארחות קבצי פיתוי זדוניים
• לחץ על תיקון פקודות PowerShell

זיהומים המוניים וחשיפה נרחבת

היקף הזיהומים של ClearFake הוא משמעותי, ומשפיע על מספר עצום של משתמשים ברחבי העולם. ביולי 2024, כ-200,000 משתמשים ייחודיים נחשפו בפוטנציה לפתיונות ClearFake שהניעו אותם להוריד תוכנות זדוניות.

ClickFix מתפשר על אתרי סוכנות רכב

וקטור התקפה משמעותי עבור ClickFix היה אתרי סוחרי רכב. למעלה מ-100 אתרי סוחרים נפגעו, כאשר התוכנה הזדונית של SectopRAT מועברת באמצעות פתיונות ClickFix.

עם זאת, אתרי האינטרנט של הסוכנויות עצמם לא נדבקו ישירות. במקום זאת, הפשרה התרחשה באמצעות שירות וידאו של צד שלישי שאירח ללא ידיעתו את הזרקת JavaScript שנפרצה. אירוע זה נראה כמתקפת שרשרת אספקה, המדגישה את הסיכונים הנשקפים מפגיעות בשירותי צד שלישי. הסקריפט הזדוני הוסר מאז מהאתר הנגוע.

מחשבות אחרונות: איום מתמשך ומתרחב

מסע הפרסום של ClearFake ממשיך להתפתח, תוך שימוש בטכניקות מתקדמות מבוססות בלוקצ'יין, הנדסה חברתית ורשתות זיהום רב-שלביות. היקף ההשפעה שלו, עם אלפי אתרים שנפגעו ומאות אלפי קורבנות פוטנציאליים, מדגיש את הצורך הדחוף באמצעי אבטחת סייבר חזקים כדי להתגונן מפני איומי תוכנות זדוניות מתוחכמים כאלה.