Vairāku licenču atlaides piedāvājums
Draudu datu bāze Pikšķerēšana ClearFake Attack kampaņa

ClearFake Attack kampaņa

Līdz Mezo. gadam Pikšķerēšana, Ļaunprātīga programmatūra, Attālās administrēšanas rīki. gadā
Tulkot uz:
Latviešu

ClearFake kampaņas kiberdraudu dalībnieki ir izmantojuši viltotu reCAPTCHA un Cloudflare Turnstile verifikāciju, lai maldinātu nenojaušus lietotājus lejupielādēt ļaunprātīgu programmatūru. Šīs maldinošās metodes tiek izmantotas, lai izplatītu informāciju zagjošu ļaunprātīgu programmatūru, piemēram, Lumma Stealer un Vidar Stealer .

Viltus pārlūkprogrammas atjauninājumi kā ļaunprātīgas programmatūras slazds

ClearFake, kas pirmo reizi tika identificēta 2023. gada jūlijā, ir ļaunprātīga kampaņa, kas izplatās, izmantojot apdraudētas WordPress vietnes, upuru pievilināšanai izmantojot viltus tīmekļa pārlūkprogrammas atjaunināšanas uzvednes. Šī metode ir bijusi iecienīta metode kibernoziedzniekiem, kuri vēlas efektīvi izvietot ļaunprātīgu programmatūru.

EtherHiding izmantošana slepenībai un noturībai

Galvenais ClearFake infekcijas ķēdes aspekts ir EtherHiding — metode, kas ļauj uzbrucējiem iegūt nākamā posma lietderīgo slodzi, izmantojot Binance viedās ķēdes (BSC) līgumus. Šī pieeja uzlabo uzbrukuma noturību, izmantojot decentralizētu blokķēdes tehnoloģiju, padarot atklāšanas un noņemšanas centienus grūtākus.

ClickFix parādīšanās: sociālās inženierijas viltība

Līdz 2024. gada maijam uzņēmums ClearFake bija iekļāvis ClickFix — sociālās inženierijas triku, kas paredzēts, lai maldinātu lietotājus, lai tie izpildītu ļaunprātīgu PowerShell kodu, viltus aizbildinoties, ka tiek novērsta neesoša tehniska problēma. Šis paņēmiens palīdz uzbrucējiem iegūt papildu kontroli pār upura sistēmu.

Uzlabotas Web3 iespējas ClearFake jaunākajā variantā

Jaunākajās ClearFake kampaņas atkārtojumos turpina izmantot EtherHiding un ClickFix, taču ar ievērojamiem sasniegumiem. Šie atjauninājumi ietver:

  • Lielāka mijiedarbība ar Binance viedo ķēdi, izmantojot viedo līgumu lietojumprogrammu bināros interfeisus (ABI).
  • Uzlabota upuru sistēmu pirkstu nospiedumu noņemšana, vairāku JavaScript kodu un resursu ielāde.
  • Šifrēts ClickFix HTML kods, lai izvairītos no drošības analīzes.

Daudzpakāpju uzbrukums ar šifrētām kravām

Kad upuris apmeklē uzlauztu vietni, uzbrukums izvēršas vairākos posmos:

  • JavaScript izguve no Binance Smart Chain, lai apkopotu sistēmas informāciju.
  • Šifrēta ClickFix skripta iegūšana no Cloudflare Pages.
  • Ļaunprātīgas PowerShell komandas izpilde, kas noved pie ļaunprātīgas programmatūras izvietošanas.

Ja upuris turpina ļaunprātīgu darbību, tiek izpildīts Emmenhtal Loader (pazīstams arī kā PEAKLIGHT), kas galu galā instalē Lumma Stealer sistēmā.

Attīstoša taktika: liela mēroga draudi

Līdz 2025. gada janvārim drošības pētnieki novēroja jaunas ClearFake uzbrukumu ķēdes, kurās Vidar Stealer instalēšanai tika izmantoti PowerShell iekrāvēji. Pagājušajā mēnesī ir apdraudētas vismaz 9300 tīmekļa vietnes.

Uzbrucēji nepārtraukti atjaunina ClearFake sistēmu, katru dienu mainot tā lures, skriptus un lietderīgās slodzes. Ļaunprātīgā programmatūra tagad glabā vairākus galvenos Binance Smart Chain elementus, tostarp:

  • JavaScript kods
  • AES šifrēšanas atslēgas
  • URL, kas mitina ļaunprātīgus vilinājuma failus
  • Noklikšķiniet uz Fix PowerShell komandas

Masu infekcijas un plaši izplatīta iedarbība

ClearFake infekciju mērogs ir ievērojams, un tas ietekmē lielu skaitu lietotāju visā pasaulē. 2024. gada jūlijā aptuveni 200 000 unikālu lietotāju, iespējams, tika pakļauti ClearFake mānekļiem, kas lika viņiem lejupielādēt ļaunprātīgu programmatūru.

ClickFix apdraud automašīnu izplatītāju vietnes

Nozīmīgs ClickFix uzbrukuma vektors ir bijis automašīnu izplatītāju vietnes. Vairāk nekā 100 tirdzniecības vietņu tika apdraudētas, un SectopRAT ļaunprogrammatūra tika piegādāta, izmantojot ClickFix lures.

Tomēr pašu izplatītāju tīmekļa vietnes nebija tieši inficētas. Tā vietā kompromiss notika, izmantojot trešās puses video pakalpojumu, kas neapzināti mitināja apdraudēto JavaScript injekciju. Šķiet, ka šis incidents ir piegādes ķēdes uzbrukums, uzsverot riskus, ko rada trešo pušu pakalpojumu ievainojamība. Kopš tā laika ļaunprātīgais skripts ir noņemts no inficētās vietnes.

Pēdējās domas: pastāvīgs un arvien plašāks drauds

ClearFake kampaņa turpina attīstīties, izmantojot progresīvas blokķēdes metodes, sociālo inženieriju un daudzpakāpju infekcijas ķēdes. Tās ietekmes mērogs ar tūkstošiem apdraudētu vietņu un simtiem tūkstošu potenciālo upuru uzsver steidzamu vajadzību pēc stingriem kiberdrošības pasākumiem, lai aizsargātos pret šādiem sarežģītiem ļaunprātīgas programmatūras draudiem.

 

Tendences

Sagerunex ļaunprātīgas programmatūras varianti

Advanced Persistent Threat (APT), Aizmugures durvis
Bēdīgi slavenais draudu aktieris, kas pazīstams kā Lotus Panda, ir novērots, veicot kiberuzbrukumus valdības, ražošanas, telekomunikāciju un mediju nozarēm Filipīnās, Vjetnamā, Honkongā un Taivānā. Šie uzbrukumi ietver atjauninātas Sagerunex backdoor versijas — ļaunprogrammatūras celmu, ko Lotus Panda izmanto vismaz kopš 2016. gada. Grupa APT (Advanced Persistent Threat) turpina pilnveidot savu...

Solvay — jaunu biznesa attiecību e-pasta krāpniecība

Pikšķerēšana, Mēstules
Digitālā ainava ir pilna ar iespējām, bet arī ar briesmām. Kibernoziedznieki nemitīgi pilnveido savu taktiku, izstrādājot sarežģītas shēmas, kas upurējas gan uzņēmumiem, gan privātpersonām. Viena no šādām maldinošām shēmām ir e-pasta krāpniecība Solvay — New Business Relationships — pikšķerēšanas kampaņa, kas paredzēta sensitīvas informācijas un finanšu līdzekļu vākšanai. Izpratne par šīs...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
25,717
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...