Ponuda s popustom na više licenci
Baza prijetnji Krađa identiteta ClearFake Attack kampanja

ClearFake Attack kampanja

Do Mezo. Krađa identiteta, Malware, Alati za udaljenu administraciju. godine
Prevedi na:
Hrvatski

Akteri cyber prijetnji koji stoje iza kampanje ClearFake koristili su lažne reCAPTCHA i Cloudflare Turnstile provjere kako bi prevarili korisnike koji ništa ne sumnjaju da preuzmu zlonamjerni softver. Ove prijevarne tehnike koriste se za distribuciju zlonamjernog softvera za krađu informacija, kao što su Lumma Stealer i Vidar Stealer .

Lažna ažuriranja preglednika kao zamka zlonamjernog softvera

Prvi put identificiran u srpnju 2023., ClearFake je zlonamjerna kampanja koja se širi preko ugroženih WordPress stranica, koristeći lažne upite za ažuriranje web-preglednika kako bi namamila žrtve. Ova je metoda bila omiljena tehnika za kibernetičke kriminalce koji žele učinkovito implementirati zlonamjerni softver.

Iskorištavanje EtherHidinga za skrivenost i postojanost

Ključni aspekt ClearFakeovog lanca infekcije je EtherHiding, tehnika koja omogućuje napadačima da dohvate korisni teret sljedeće faze koristeći Binanceove Smart Chain (BSC) ugovore. Ovaj pristup povećava otpornost napada iskorištavanjem decentralizirane blockchain tehnologije, čineći otkrivanje i uklanjanje još većim izazovom.

Pojava ClickFixa: trik društvenog inženjeringa

Do svibnja 2024. ClearFake je uključio ClickFix, trik društvenog inženjeringa osmišljen kako bi zavarao korisnike da izvrše zlonamjerni kod PowerShell pod lažnom izlikom da popravljaju nepostojeći tehnički problem. Ova tehnika pomaže napadačima da steknu dodatnu kontrolu nad žrtvinim sustavom.

Napredne Web3 mogućnosti u najnovijoj varijanti ClearFakea

Najnovije iteracije ClearFake kampanje nastavljaju koristiti EtherHiding i ClickFix, ali uz primjetan napredak. Ova ažuriranja uključuju:

  • Veća interakcija s Binance Smart Chain-om, korištenjem binarnih sučelja aplikacija pametnih ugovora (ABI).
  • Poboljšano otiskivanje sustava žrtava, učitavanje više JavaScript kodova i resursa.
  • Šifrirani ClickFix HTML kod za izbjegavanje sigurnosne analize.

Napad u više faza s šifriranim sadržajem

Nakon što žrtva posjeti kompromitirano web mjesto, napad se odvija u nekoliko faza:

  • Dohvaćanje JavaScripta iz Binance Smart Chaina za prikupljanje informacija o sustavu.
  • Dohvaćanje šifrirane ClickFix skripte s Cloudflare Pages.
  • Izvršenje zlonamjerne PowerShell naredbe, što dovodi do implementacije zlonamjernog softvera.

Ako žrtva nastavi sa zlonamjernom radnjom, izvršava se Emmenhtal Loader (aka PEAKLIGHT), koji na kraju instalira Lumma Stealer na sustav.

Taktike u razvoju: prijetnja velikih razmjera

Do siječnja 2025. sigurnosni istraživači primijetili su nove ClearFake lance napada koji su koristili PowerShell učitavače za instaliranje Vidar Stealera. Od prošlog mjeseca, najmanje 9300 web stranica je ugroženo.

Napadači kontinuirano ažuriraju okvir ClearFake, svakodnevno mijenjajući njegove mamce, skripte i korisna opterećenja. Zlonamjerni softver sada pohranjuje više ključnih elemenata unutar Binance Smart Chaina, uključujući:

  • JavaScript kod
  • AES enkripcijski ključevi
  • URL-ovi koji hostiraju zlonamjerne datoteke mamca
  • ClickFix PowerShell naredbe

Masovne infekcije i široko rasprostranjena izloženost

Razmjeri infekcija ClearFakeom su značajni i utječu na velik broj korisnika diljem svijeta. U srpnju 2024. približno 200 000 jedinstvenih korisnika bilo je potencijalno izloženo ClearFake mamacima koji su ih potaknuli na preuzimanje zlonamjernog softvera.

ClickFix kompromitira web-mjesta auto salona

Značajan vektor napada za ClickFix bile su web stranice auto-salonaca. Više od 100 prodajnih mjesta bilo je kompromitirano, a zlonamjerni softver SectopRAT isporučivan je preko ClickFix mamaca.

Međutim, vlastite web stranice zastupništva nisu bile izravno zaražene. Umjesto toga, do kompromitacije je došlo putem video usluge treće strane koja je nesvjesno ugostila kompromitiranu JavaScript injekciju. Čini se da je ovaj incident napad na lanac opskrbe, naglašavajući rizike koje predstavljaju ranjivosti u uslugama trećih strana. Zlonamjerna skripta je u međuvremenu uklonjena sa zaražene stranice.

Završne misli: stalna prijetnja koja se širi

ClearFake kampanja nastavlja se razvijati, koristeći napredne tehnike temeljene na blockchainu, društveni inženjering i lance infekcije u više faza. Opseg njegovog utjecaja, s tisućama kompromitiranih stranica i stotinama tisuća potencijalnih žrtava, naglašava hitnu potrebu za snažnim mjerama kibernetičke sigurnosti za obranu od takvih sofisticiranih prijetnji zlonamjernog softvera.

 

U trendu

Varijante zlonamjernog softvera Sagerunex

Napredna trajna prijetnja (APT), Stražnja vrata
Ozloglašeni akter prijetnje poznat kao Lotus Panda primijećen je kako pokreće kibernetičke napade na vladine, proizvodne, telekomunikacijske i medijske sektore na Filipinima, Vijetnamu, Hong Kongu i Tajvanu. Ovi napadi uključuju ažurirane verzije Sagerunex stražnjih vrata, vrste zlonamjernog softvera koji Lotus Panda koristi najmanje od 2016. Grupa APT (Advanced Persistent Threat) nastavlja...

Nagledanije

Učitavam...