Rabatttilbud for flere lisenser
Trusseldatabase Phishing ClearFake angrepskampanje

ClearFake angrepskampanje

Med Mezo i Phishing, Skadelig programvare, Fjernadministrasjonsverktøy
Oversett til:
Norsk

Aktørene på nettrusselen bak ClearFake-kampanjen har brukt falske reCAPTCHA- og Cloudflare Turnstile-verifikasjoner for å lure intetanende brukere til å laste ned skadelig programvare. Disse villedende teknikkene brukes til å distribuere skadelig programvare som stjeler informasjon som Lumma Stealer og Vidar Stealer .

Falske nettleseroppdateringer som en skadelig programvarefelle

ClearFake ble først identifisert i juli 2023, og er en ondsinnet kampanje som spres gjennom kompromitterte WordPress-nettsteder, ved å bruke falske nettleseroppdateringer for å lokke ofre. Denne metoden har vært en foretrukket teknikk for nettkriminelle som ønsker å distribuere skadelig programvare effektivt.

Utnytt EtherHiding for sniking og utholdenhet

Et sentralt aspekt ved ClearFakes infeksjonskjede er EtherHiding, en teknikk som lar angripere hente nyttelasten i neste trinn ved å bruke Binances Smart Chain (BSC)-kontrakter. Denne tilnærmingen øker motstandskraften til angrepet ved å utnytte desentralisert blokkjedeteknologi, noe som gjør deteksjons- og fjerningsarbeid mer utfordrende.

Fremveksten av ClickFix: A Social Engineering Ploy

I mai 2024 hadde ClearFake innlemmet ClickFix, et sosialt ingeniørtriks designet for å lure brukere til å utføre ondsinnet PowerShell-kode under det falske påskuddet om å fikse et ikke-eksisterende teknisk problem. Denne teknikken hjelper angripere med å få ytterligere kontroll over offerets system.

Avanserte Web3-funksjoner i ClearFakes nyeste variant

De siste iterasjonene av ClearFake-kampanjen fortsetter å bruke EtherHiding og ClickFix, men med bemerkelsesverdige fremskritt. Disse oppdateringene inkluderer:

  • Større interaksjon med Binance Smart Chain, ved bruk av smart kontrakt Application Binary Interfaces (ABI).
  • Forbedret fingeravtrykk av ofrenes systemer, laster flere JavaScript-koder og ressurser.
  • Kryptert ClickFix HTML-kode for å unngå sikkerhetsanalyse.

Et flertrinnsangrep med kryptert nyttelast

Når et offer besøker et kompromittert nettsted, utfolder angrepet seg i flere stadier:

  • Henting av JavaScript fra Binance Smart Chain for å samle systeminformasjon.
  • Henter et kryptert ClickFix-skript fra Cloudflare Pages.
  • Utførelse av en ondsinnet PowerShell-kommando, som fører til distribusjon av skadelig programvare.

Hvis offeret fortsetter med den ondsinnede handlingen, blir Emmenhtal Loader (aka PEAKLIGHT) utført, som til slutt installerer Lumma Stealer på systemet.

Evolving Tactics: En storskala trussel

I januar 2025 observerte sikkerhetsforskere nye ClearFake-angrepskjeder som bruker PowerShell-lastere for å installere Vidar Stealer. Fra forrige måned har minst 9 300 nettsteder blitt kompromittert.

Angripere oppdaterer kontinuerlig ClearFake-rammeverket, og modifiserer lokkemidler, skript og nyttelast daglig. Skadevaren lagrer nå flere nøkkelelementer i Binance Smart Chain, inkludert:

  • JavaScript-kode
  • AES krypteringsnøkler
  • URL-er som er vert for ondsinnede lokkefiler
  • Klikk påFix PowerShell-kommandoer

Masseinfeksjoner og utbredt eksponering

Omfanget av ClearFake-infeksjoner er betydelig, og påvirker et stort antall brukere over hele verden. I juli 2024 ble omtrent 200 000 unike brukere potensielt utsatt for ClearFake lokker som fikk dem til å laste ned skadelig programvare.

ClickFix kompromitterer nettsteder for bilforhandlere

En betydelig angrepsvektor for ClickFix har vært nettsteder for bilforhandlere. Over 100 forhandlernettsteder ble kompromittert, med SectopRAT-malware som ble levert via ClickFix-lokker.

Imidlertid var ikke forhandlernes egne nettsider direkte infisert. I stedet skjedde kompromitteringen gjennom en tredjeparts videotjeneste som uvitende var vert for den kompromitterte JavaScript-injeksjonen. Denne hendelsen ser ut til å være et forsyningskjedeangrep, som fremhever risikoen knyttet til sårbarheter i tredjepartstjenester. Det ondsinnede skriptet har siden blitt fjernet fra det infiserte nettstedet.

Siste tanker: En vedvarende og utvidende trussel

ClearFake-kampanjen fortsetter å utvikle seg, og utnytter avanserte blokkjedebaserte teknikker, sosial ingeniørkunst og flertrinns infeksjonskjeder. Omfanget av dens innvirkning, med tusenvis av kompromitterte nettsteder og hundretusenvis av potensielle ofre, understreker det presserende behovet for robuste nettsikkerhetstiltak for å forsvare seg mot slike sofistikerte trusler mot skadelig programvare.

 

Trender

Mest sett

Laster inn...