Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Adathalászat ClearFake Attack kampány

ClearFake Attack kampány

Mezo -ra Adathalászat, Malware, Távoli adminisztrációs eszközök-ben
Fordítás ide:
Magyar

A ClearFake kampány mögött álló kiberfenyegetés szereplői hamis reCAPTCHA és Cloudflare Turnstile ellenőrzéseket használnak, hogy rávegyék a gyanútlan felhasználókat, hogy rosszindulatú programokat töltsenek le. Ezeket a megtévesztő technikákat olyan információlopó rosszindulatú programok terjesztésére alkalmazzák, mint a Lumma Stealer és a Vidar Stealer .

Hamis böngészőfrissítések rosszindulatú programok csapdájaként

Először 2023 júliusában azonosították, a ClearFake egy rosszindulatú kampány, amely feltört WordPress-webhelyeken keresztül terjed, hamis webböngésző-frissítési utasításokat használva az áldozatok csalogatására. Ez a módszer a rosszindulatú programokat hatékonyan telepíteni kívánó kiberbűnözők kedvelt technikája.

Az EtherHiding kihasználása a lopakodás és a kitartás érdekében

A ClearFake fertőzési láncának egyik kulcsfontosságú eleme az EtherHiding, egy olyan technika, amely lehetővé teszi a támadók számára, hogy a Binance Smart Chain (BSC) szerződései segítségével lekérjék a következő szakasz hasznos terhét. Ez a megközelítés a decentralizált blokklánc-technológia kihasználásával növeli a támadások ellenálló képességét, és nagyobb kihívást jelent az észlelési és eltávolítási erőfeszítések terén.

A ClickFix megjelenése: Társadalmi tervezési csel

2024 májusára a ClearFake beépítette a ClickFix-et, egy szociális tervezési trükköt, amelyet arra terveztek, hogy a felhasználókat rosszindulatú PowerShell-kód futtatására késztesse azzal a hamis ürüggyel, hogy egy nem létező műszaki hibát javít ki. Ez a technika segít a támadóknak további ellenőrzést szerezni az áldozat rendszere felett.

Fejlett web3-képességek a ClearFake legújabb változatában

A ClearFake kampány legújabb iterációi továbbra is az EtherHiding és a ClickFix alkalmazást használják, de jelentős előrelépésekkel. Ezek a frissítések a következőket tartalmazzák:

  • Nagyobb interakció a Binance Smart Chain-nel az intelligens szerződéses alkalmazásbináris interfészek (ABI-k) használatával.
  • Továbbfejlesztett ujjlenyomatvétel az áldozatok rendszereiről, több JavaScript kód és erőforrás betöltése.
  • Titkosított ClickFix HTML kód a biztonsági elemzés elkerülése érdekében.

Többlépcsős támadás titkosított rakományokkal

Ha egy áldozat felkeres egy feltört webhelyet, a támadás több szakaszban bontakozik ki:

  • JavaScript lekérése a Binance Smart Chain szolgáltatásból a rendszerinformációk gyűjtéséhez.
  • Titkosított ClickFix szkript lekérése a Cloudflare Pagesről.
  • Rosszindulatú PowerShell-parancs végrehajtása, amely rosszindulatú program telepítéséhez vezet.

Ha az áldozat folytatja a rosszindulatú akciót, az Emmenhtal Loader (más néven PEAKLIGHT) végrehajtásra kerül, amely végül telepíti a Lumma Stealer-t a rendszerre.

Fejlődő taktika: nagyszabású fenyegetés

2025 januárjában a biztonsági kutatók új ClearFake támadási láncokat figyeltek meg, amelyek PowerShell betöltőket használnak a Vidar Stealer telepítéséhez. A múlt hónapig legalább 9300 webhelyet veszélyeztettek.

A támadók folyamatosan frissítik a ClearFake keretrendszert, naponta módosítva csalikjait, szkriptjeit és rakományait. A rosszindulatú program immár több kulcselemet is tárol a Binance Smart Chainben, többek között:

  • JavaScript kód
  • AES titkosítási kulcsok
  • Rosszindulatú csalogató fájlokat tároló URL-ek
  • Kattintson a PowerShell-parancsok javítására

Tömeges fertőzések és kiterjedt expozíció

A ClearFake fertőzések mértéke jelentős, és világszerte rengeteg felhasználót érint. 2024 júliusában körülbelül 200 000 egyedi felhasználó volt kitéve a ClearFake csaliknak, amelyek kártevő letöltésre késztették őket.

A ClickFix veszélyezteti az autókereskedések webhelyeit

A ClickFix jelentős támadási vektora az autókereskedések webhelyei voltak. Több mint 100 kereskedési webhelyet veszélyeztettek, a SectopRAT kártevőt ClickFix csalik segítségével szállították.

A kereskedések saját webhelyei azonban nem fertőződtek meg közvetlenül. Ehelyett a kompromisszum egy harmadik féltől származó videoszolgáltatáson keresztül történt, amely tudtukon kívül tárolta a veszélyeztetett JavaScript-injektálást. Úgy tűnik, hogy ez az incidens egy ellátási lánc támadása, amely rávilágít a harmadik féltől származó szolgáltatások sérülékenységeiből fakadó kockázatokra. A rosszindulatú szkriptet azóta eltávolították a fertőzött oldalról.

Végső gondolatok: tartós és terjedő fenyegetés

A ClearFake kampány tovább fejlődik, kihasználva a fejlett blokklánc-alapú technikákat, a szociális tervezést és a többlépcsős fertőzési láncokat. Hatásának mértéke – több ezer feltört webhely és több százezer potenciális áldozat – rávilágít arra, hogy sürgősen szükség van erőteljes kiberbiztonsági intézkedésekre az ilyen kifinomult rosszindulatú programok elleni védekezés érdekében.

 

Felkapott

Sagerunex malware-változatok

Advanced Persistent Threat (APT), Hátsó ajtók
A Lotus Panda néven ismert hírhedt fenyegetést figyelték meg, amint kibertámadásokat indított a kormány, a gyártás, a távközlés és a média szektor ellen a Fülöp-szigeteken, Vietnamban, Hongkongban és Tajvanon. Ezek a támadások a Sagerunex backdoor frissített verzióit érintik, egy rosszindulatú programtörzs, amelyet a Lotus Panda legalább 2016 óta használ. Az APT (Advanced Persistent Threat)...

Solvay – Új üzleti kapcsolatok e-mail átverés

Adathalászat, Spam
A digitális táj tele van lehetőségekkel, de veszélyekkel is. A kiberbűnözők folyamatosan fejlesztik taktikájukat, és olyan kifinomult sémákat dolgoznak ki, amelyek a vállalkozásokat és az egyéneket egyaránt zsákmányolják. Az egyik ilyen megtévesztő séma a „Solvay – New Business Relationships” e-mailes átverés, egy adathalász kampány, amelynek célja érzékeny információk és pénzügyi eszközök...

Legnézettebb

Betöltés...