ClearFake Attack Campaign

क्लियरफेक अभियान के पीछे साइबर खतरा पैदा करने वाले लोग नकली रीकैप्चा और क्लाउडफ्लेयर टर्नस्टाइल सत्यापन का उपयोग करके अनजान उपयोगकर्ताओं को मैलवेयर डाउनलोड करने के लिए धोखा दे रहे हैं। इन भ्रामक तकनीकों का उपयोग सूचना चुराने वाले मैलवेयर जैसे कि लुम्मा स्टीलर और विडार स्टीलर को वितरित करने के लिए किया जाता है।

नकली ब्राउज़र अपडेट मैलवेयर ट्रैप के रूप में

जुलाई 2023 में पहली बार पहचाने जाने वाला क्लियरफ़ेक एक दुर्भावनापूर्ण अभियान है जो पीड़ितों को लुभाने के लिए नकली वेब ब्राउज़र अपडेट संकेतों का उपयोग करके समझौता किए गए वर्डप्रेस साइटों के माध्यम से फैलता है। यह तरीका साइबर अपराधियों के लिए एक पसंदीदा तकनीक रही है जो मैलवेयर को कुशलतापूर्वक तैनात करना चाहते हैं।

चुपके और दृढ़ता के लिए ईथरहाइडिंग का लाभ उठाना

क्लियरफ़ेक की संक्रमण श्रृंखला का एक प्रमुख पहलू ईथरहाइडिंग है, जो एक ऐसी तकनीक है जो हमलावरों को बिनेंस के स्मार्ट चेन (BSC) अनुबंधों का उपयोग करके अगले चरण के पेलोड को लाने की अनुमति देती है। यह दृष्टिकोण विकेंद्रीकृत ब्लॉकचेन तकनीक का लाभ उठाकर हमले की लचीलापन को बढ़ाता है, जिससे पता लगाना और हटाना अधिक चुनौतीपूर्ण हो जाता है।

क्लिकफिक्स का उदय: एक सामाजिक इंजीनियरिंग चाल

मई 2024 तक, ClearFake ने ClickFix को शामिल कर लिया था, जो एक सोशल इंजीनियरिंग ट्रिक है जिसे उपयोगकर्ताओं को एक गैर-मौजूद तकनीकी समस्या को ठीक करने के झूठे बहाने के तहत दुर्भावनापूर्ण PowerShell कोड निष्पादित करने के लिए धोखा देने के लिए डिज़ाइन किया गया है। यह तकनीक हमलावरों को पीड़ित के सिस्टम पर और अधिक नियंत्रण हासिल करने में मदद करती है।

क्लियरफ़ेक के नवीनतम संस्करण में उन्नत वेब3 क्षमताएँ

क्लियरफ़ेक अभियान के नवीनतम संस्करणों में ईथरहाइडिंग और क्लिकफ़िक्स का उपयोग जारी है, लेकिन उल्लेखनीय प्रगति के साथ। इन अपडेट में शामिल हैं:

• स्मार्ट कॉन्ट्रैक्ट एप्लीकेशन बाइनरी इंटरफेस (एबीआई) का उपयोग करके बिनेंस स्मार्ट चेन के साथ अधिक से अधिक सहभागिता।
• पीड़ितों के सिस्टम की उन्नत फिंगरप्रिंटिंग, अनेक जावास्क्रिप्ट कोड और संसाधन लोड करना।
• सुरक्षा विश्लेषण से बचने के लिए एन्क्रिप्टेड ClickFix HTML कोड।

एन्क्रिप्टेड पेलोड के साथ बहु-चरणीय हमला

जब कोई पीड़ित किसी संक्रमित वेबसाइट पर जाता है, तो हमला कई चरणों में होता है:

• सिस्टम जानकारी एकत्र करने के लिए बिनेंस स्मार्ट चेन से जावास्क्रिप्ट की पुनर्प्राप्ति।

• क्लाउडफ्लेयर पेज से एन्क्रिप्टेड ClickFix स्क्रिप्ट प्राप्त करना।

• दुर्भावनापूर्ण PowerShell कमांड का निष्पादन, जिसके परिणामस्वरूप मैलवेयर तैनात हो जाता है।

यदि पीड़ित दुर्भावनापूर्ण कार्रवाई करता है, तो एम्मेन्थल लोडर (उर्फ पीकलाइट) निष्पादित होता है, जो अंततः सिस्टम पर लुम्मा स्टीलर को स्थापित कर देता है।

विकसित होती रणनीति: एक बड़े पैमाने का खतरा

जनवरी 2025 तक, सुरक्षा शोधकर्ताओं ने विडार स्टीलर को स्थापित करने के लिए पावरशेल लोडर का उपयोग करते हुए नई क्लियरफ़ेक हमले श्रृंखलाओं को देखा। पिछले महीने तक, कम से कम 9,300 वेबसाइटें समझौता कर चुकी हैं।

हमलावर क्लियरफ़ेक फ्रेमवर्क को लगातार अपडेट करते रहते हैं, इसके ल्यूर, स्क्रिप्ट और पेलोड को रोजाना संशोधित करते रहते हैं। मैलवेयर अब बिनेंस स्मार्ट चेन के भीतर कई प्रमुख तत्वों को संग्रहीत करता है, जिनमें शामिल हैं:

• जावास्क्रिप्ट कोड
• एईएस एन्क्रिप्शन कुंजी
• दुर्भावनापूर्ण लालच फ़ाइलें होस्ट करने वाले URL
• ClickFix PowerShell कमांड

बड़े पैमाने पर संक्रमण और व्यापक जोखिम

क्लियरफेक संक्रमण का पैमाना महत्वपूर्ण है, जो दुनिया भर में बड़ी संख्या में उपयोगकर्ताओं को प्रभावित करता है। जुलाई 2024 में, लगभग 200,000 अद्वितीय उपयोगकर्ता संभावित रूप से क्लियरफेक लालच के संपर्क में आए थे, जिसने उन्हें मैलवेयर डाउनलोड करने के लिए प्रेरित किया।

ClickFix ने ऑटो डीलरशिप वेबसाइटों से समझौता किया

ClickFix के लिए एक महत्वपूर्ण हमला ऑटो डीलरशिप वेबसाइटें रही हैं। 100 से अधिक डीलरशिप साइटों को खतरे में डाला गया, जिसमें ClickFix के लालच के माध्यम से SectopRAT मैलवेयर को भेजा गया।

हालाँकि, डीलरशिप की अपनी वेबसाइटें सीधे संक्रमित नहीं थीं। इसके बजाय, समझौता एक तृतीय-पक्ष वीडियो सेवा के माध्यम से हुआ जिसने अनजाने में समझौता किए गए जावास्क्रिप्ट इंजेक्शन को होस्ट किया। यह घटना एक आपूर्ति श्रृंखला हमला प्रतीत होती है, जो तृतीय-पक्ष सेवाओं में कमजोरियों द्वारा उत्पन्न जोखिमों को उजागर करती है। दुर्भावनापूर्ण स्क्रिप्ट को तब से संक्रमित साइट से हटा दिया गया है।

अंतिम विचार: एक निरंतर और बढ़ता हुआ ख़तरा

क्लियरफ़ेक अभियान लगातार विकसित हो रहा है, जिसमें उन्नत ब्लॉकचेन-आधारित तकनीक, सोशल इंजीनियरिंग और बहु-चरणीय संक्रमण श्रृंखलाओं का लाभ उठाया जा रहा है। हज़ारों समझौता किए गए साइटों और सैकड़ों हज़ारों संभावित पीड़ितों के साथ इसके प्रभाव का पैमाना, ऐसे परिष्कृत मैलवेयर खतरों से बचाव के लिए मज़बूत साइबर सुरक्षा उपायों की तत्काल आवश्यकता को रेखांकित करता है।