Preventivo sconto multi-licenza
Database delle minacce Phishing Campagna di attacco ClearFake

Campagna di attacco ClearFake

Entro Mezo nel Phishing, Malware, Strumenti di amministrazione remota
Traduci in:
Italiano

Gli autori di minacce informatiche dietro la campagna ClearFake hanno utilizzato false verifiche reCAPTCHA e Cloudflare Turnstile per ingannare gli utenti ignari e fargli scaricare malware. Queste tecniche ingannevoli vengono impiegate per distribuire malware che rubano informazioni come Lumma Stealer e Vidar Stealer .

Aggiornamenti falsi del browser come trappola per malware

Identificata per la prima volta nel luglio 2023, ClearFake è una campagna dannosa che si diffonde attraverso siti WordPress compromessi, utilizzando falsi prompt di aggiornamento del browser web per attirare le vittime. Questo metodo è stato una tecnica preferita dai criminali informatici che cercano di distribuire malware in modo efficiente.

Sfruttare EtherHiding per furtività e persistenza

Un aspetto chiave della catena di infezione di ClearFake è EtherHiding, una tecnica che consente agli aggressori di recuperare il payload di fase successiva utilizzando i contratti Smart Chain (BSC) di Binance. Questo approccio migliora la resilienza dell'attacco sfruttando la tecnologia blockchain decentralizzata, rendendo più difficili gli sforzi di rilevamento e rimozione.

L’emergere di ClickFix: uno stratagemma di ingegneria sociale

Entro maggio 2024, ClearFake aveva incorporato ClickFix, un trucco di ingegneria sociale progettato per ingannare gli utenti e indurli a eseguire codice PowerShell dannoso con il falso pretesto di risolvere un problema tecnico inesistente. Questa tecnica aiuta gli aggressori a ottenere un ulteriore controllo sul sistema della vittima.

Funzionalità Web3 avanzate nell’ultima variante di ClearFake

Le ultime iterazioni della campagna ClearFake continuano a impiegare EtherHiding e ClickFix, ma con notevoli progressi. Questi aggiornamenti includono:

  • Maggiore interazione con Binance Smart Chain, utilizzando le Application Binary Interface (ABI) dei contratti intelligenti.
  • Impronte digitali migliorate dei sistemi delle vittime, tramite il caricamento di più codici JavaScript e risorse.
  • Codice HTML ClickFix crittografato per eludere l'analisi di sicurezza.

Un attacco multi-fase con payload crittografati

Una volta che la vittima visita un sito web compromesso, l'attacco si sviluppa in diverse fasi:

  • Recupero di JavaScript da Binance Smart Chain per raccogliere informazioni di sistema.
  • Recupero di uno script ClickFix crittografato da Cloudflare Pages.
  • Esecuzione di un comando PowerShell dannoso, che porta alla distribuzione di malware.

Se la vittima procede con l'azione dannosa, viene eseguito Emmenhtal Loader (noto anche come PEAKLIGHT), che alla fine installa Lumma Stealer sul sistema.

Evoluzione delle tattiche: una minaccia su larga scala

Entro gennaio 2025, i ricercatori di sicurezza hanno osservato nuove catene di attacchi ClearFake che utilizzano i caricatori PowerShell per installare Vidar Stealer. A partire dal mese scorso, almeno 9.300 siti Web sono stati compromessi.

Gli aggressori aggiornano continuamente il framework ClearFake, modificandone quotidianamente le esche, gli script e i payload. Il malware ora memorizza più elementi chiave all'interno di Binance Smart Chain, tra cui:

  • Codice JavaScript
  • Chiavi di crittografia AES
  • URL che ospitano file esca dannosi
  • Comandi PowerShell ClickFix

Infezioni di massa ed esposizione diffusa

La portata delle infezioni ClearFake è significativa e colpisce un vasto numero di utenti in tutto il mondo. A luglio 2024, circa 200.000 utenti unici sono stati potenzialmente esposti alle esche ClearFake che li hanno spinti a scaricare malware.

ClickFix compromette i siti web delle concessionarie auto

Un importante vettore di attacco per ClickFix sono stati i siti web delle concessionarie auto. Sono stati compromessi oltre 100 siti di concessionarie, con il malware SectopRAT distribuito tramite esche ClickFix.

Tuttavia, i siti Web delle concessionarie non sono stati direttamente infettati. Invece, la compromissione è avvenuta tramite un servizio video di terze parti che inconsapevolmente ospitava l'iniezione JavaScript compromessa. Questo incidente sembra essere un attacco alla supply chain, evidenziando i rischi posti dalle vulnerabilità nei servizi di terze parti. Lo script dannoso è stato da allora rimosso dal sito infetto.

Considerazioni finali: una minaccia persistente e in espansione

La campagna ClearFake continua a evolversi, sfruttando tecniche avanzate basate su blockchain, ingegneria sociale e catene di infezione multi-stadio. La portata del suo impatto, con migliaia di siti compromessi e centinaia di migliaia di potenziali vittime, sottolinea l'urgente necessità di misure di sicurezza informatica robuste per difendersi da minacce malware così sofisticate.

 

Tendenza

I più visti

Caricamento in corso...