„ClearFake Attack“ kampanija
„ClearFake“ kampanijos kibernetinės grėsmės veikėjai naudojo netikrus „reCAPTCHA“ ir „Cloudflare Turnstile“ patikrinimus, kad apgautų nieko neįtariančius vartotojus atsisiųsti kenkėjiškų programų. Šie apgaulingi metodai naudojami platinant informaciją vagiančias kenkėjiškas programas, tokias kaip Lumma Stealer ir Vidar Stealer .
Turinys
Netikri naršyklės atnaujinimai kaip kenkėjiškų programų spąstai
Pirmą kartą aptikta 2023 m. liepos mėn., „ClearFake“ yra kenkėjiška kampanija, kuri plinta per pažeistas „WordPress“ svetaines, naudojant netikrus žiniatinklio naršyklės atnaujinimo raginimus, kad priviliotų aukas. Šis metodas buvo mėgstamas kibernetiniams nusikaltėliams, norintiems efektyviai įdiegti kenkėjiškas programas.
EtherHiding panaudojimas slaptumui ir atkaklumui
Pagrindinis „ClearFake“ infekcijos grandinės aspektas yra „EtherHiding“ – technika, leidžianti užpuolikams gauti kito etapo naudingąją apkrovą naudojant „Binance“ išmaniosios grandinės (BSC) sutartis. Šis metodas padidina atakos atsparumą, nes panaudoja decentralizuotą blokų grandinės technologiją, todėl aptikimo ir pašalinimo pastangos tampa sudėtingesnės.
„ClickFix“ atsiradimas: socialinės inžinerijos gudrybė
Iki 2024 m. gegužės mėn. „ClearFake“ įtraukė „ClickFix“ – socialinės inžinerijos triuką, skirtą suklaidinti vartotojus, kad jie paleisti kenkėjišką „PowerShell“ kodą, apsimetant, kad ištaisoma neegzistuojanti techninė problema. Ši technika padeda užpuolikams toliau valdyti aukos sistemą.
Išplėstinės Web3 galimybės naujausiame ClearFake variante
Naujausiose „ClearFake“ kampanijos iteracijose ir toliau naudojamos „EtherHiding“ ir „ClickFix“, tačiau pastebimos pažangos. Šie atnaujinimai apima:
- Didesnė sąveika su „Binance Smart Chain“, naudojant išmaniąsias sutartis „Application Binary Interfaces“ (ABI).
- Patobulintas aukų sistemų pirštų atspaudų ėmimas, kelių JavaScript kodų ir išteklių įkėlimas.
- Užšifruotas ClickFix HTML kodas, kad būtų išvengta saugumo analizės.
Daugiapakopė ataka su užšifruotais kroviniais
Kai auka apsilanko pažeistoje svetainėje, ataka vyksta keliais etapais:
- „JavaScript“ gavimas iš „Binance Smart Chain“ sistemos informacijai rinkti.
- Užšifruoto ClickFix scenarijaus gavimas iš „Cloudflare“ puslapių.
- Kenkėjiškos „PowerShell“ komandos vykdymas, dėl kurio bus įdiegta kenkėjiška programa.
Jei auka tęsia piktavališką veiksmą, paleidžiamas Emmenhtal Loader (dar žinomas kaip PEAKLIGHT), kuris galiausiai įdiegia sistemoje Lumma Stealer.
Besivystanti taktika: didelio masto grėsmė
Iki 2025 m. sausio mėn. saugumo tyrinėtojai pastebėjo naujas „ClearFake“ atakų grandines, naudojančias „PowerShell“ įkroviklius, kad įdiegtų „Vidar Stealer“. Praėjusį mėnesį buvo pažeista mažiausiai 9 300 svetainių.
Užpuolikai nuolat atnaujina „ClearFake“ sistemą, kasdien keisdami jos masalus, scenarijus ir naudingąsias apkrovas. Kenkėjiška programa dabar saugo kelis pagrindinius „Binance Smart Chain“ elementus, įskaitant:
- JavaScript kodas
- AES šifravimo raktai
- URL, talpinantys kenkėjiškus viliojimo failus
- Spustelėkite Fix PowerShell komandas
Masinės infekcijos ir plačiai paplitęs poveikis
„ClearFake“ infekcijų mastas yra didelis ir paveikia daugybę vartotojų visame pasaulyje. 2024 m. liepos mėn. maždaug 200 000 unikalių vartotojų galėjo susidurti su „ClearFake“ masalais, kurie paskatino juos atsisiųsti kenkėjiškas programas.
„ClickFix“ pažeidžia automobilių pardavėjų svetaines
Reikšmingas ClickFix atakos vektorius buvo automobilių pardavėjų svetainės. Buvo pažeista daugiau nei 100 platinimo svetainių, o SectopRAT kenkėjiška programa buvo pristatyta naudojant ClickFix masalus.
Tačiau pačių platintojų svetainės nebuvo tiesiogiai užkrėstos. Vietoj to, kompromisas įvyko per trečiosios šalies vaizdo įrašų paslaugą, kuri nesąmoningai priglobė pažeistą „JavaScript“ injekciją. Atrodo, kad šis incidentas yra tiekimo grandinės ataka, pabrėžianti riziką, kurią kelia trečiųjų šalių paslaugų pažeidžiamumas. Kenkėjiškas scenarijus buvo pašalintas iš užkrėstos svetainės.
Paskutinės mintys: nuolatinė ir besiplečianti grėsmė
„ClearFake“ kampanija toliau vystosi, pasitelkdama pažangias „blockchain“ technologijas, socialinę inžineriją ir daugiapakopes infekcijos grandines. Jo poveikio mastas – tūkstančiai pažeistų svetainių ir šimtai tūkstančių potencialių aukų – pabrėžia, kad reikia skubiai imtis patikimų kibernetinio saugumo priemonių, kad būtų galima apsisaugoti nuo tokių sudėtingų kenkėjiškų programų grėsmių.
