ClearFake Attack Campaign

ClearFake अभियान पछाडि साइबर खतरा अभिनेताहरूले नक्कली reCAPTCHA र Cloudflare Turnstile प्रमाणीकरणहरू प्रयोग गरेर शंकास्पद प्रयोगकर्ताहरूलाई मालवेयर डाउनलोड गर्न झुक्याएका छन्। यी भ्रामक प्रविधिहरू लुम्मा स्टीलर र भिडार स्टीलर जस्ता जानकारी चोरी गर्ने मालवेयर वितरण गर्न प्रयोग गरिन्छ।

मालवेयर ट्र्यापको रूपमा नक्कली ब्राउजर अपडेटहरू

जुलाई २०२३ मा पहिलो पटक पहिचान गरिएको, ClearFake एक दुर्भावनापूर्ण अभियान हो जुन सम्झौता गरिएका WordPress साइटहरू मार्फत फैलिन्छ, पीडितहरूलाई लोभ्याउन नक्कली वेब ब्राउजर अपडेट प्रम्प्टहरू प्रयोग गरेर। यो विधि मालवेयर कुशलतापूर्वक तैनाथ गर्न खोज्ने साइबर अपराधीहरूको लागि मनपर्ने प्रविधि भएको छ।

चोरी र दृढताको लागि इथरहाइडिङको उपयोग गर्दै

ClearFake को संक्रमण शृङ्खलाको एउटा प्रमुख पक्ष EtherHiding हो, जुन एक प्रविधि हो जसले आक्रमणकारीहरूलाई Binance को स्मार्ट चेन (BSC) अनुबंधहरू प्रयोग गरेर अर्को चरणको पेलोड प्राप्त गर्न अनुमति दिन्छ। यो दृष्टिकोणले विकेन्द्रीकृत ब्लकचेन प्रविधिको प्रयोग गरेर आक्रमणको लचिलोपन बढाउँछ, जसले पत्ता लगाउने र हटाउने प्रयासहरूलाई अझ चुनौतीपूर्ण बनाउँछ।

क्लिकफिक्सको उदय: एक सामाजिक इन्जिनियरिङ चाल

मे २०२४ सम्ममा, ClearFake ले ClickFix लाई समावेश गरिसकेको थियो, जुन एक सामाजिक इन्जिनियरिङ चाल हो जुन प्रयोगकर्ताहरूलाई अवस्थित नभएको प्राविधिक समस्या समाधान गर्ने झूटो बहानामा दुर्भावनापूर्ण PowerShell कोड कार्यान्वयन गर्न धोका दिन डिजाइन गरिएको थियो। यो प्रविधिले आक्रमणकारीहरूलाई पीडितको प्रणालीमा थप नियन्त्रण प्राप्त गर्न मद्दत गर्दछ।

ClearFake को पछिल्लो संस्करणमा उन्नत Web3 क्षमताहरू

ClearFake अभियानको पछिल्लो पुनरावृत्तिहरूले EtherHiding र ClickFix प्रयोग गर्न जारी राखेका छन्, तर उल्लेखनीय प्रगतिहरू सहित। यी अपडेटहरूमा समावेश छन्:

• स्मार्ट कन्ट्र्याक्ट एप्लिकेसन बाइनरी इन्टरफेस (ABIs) प्रयोग गरेर Binance स्मार्ट चेनसँग अझ बढी अन्तरक्रिया।
• पीडितहरूको प्रणालीहरूको परिष्कृत फिंगरप्रिन्टिङ, धेरै जाभास्क्रिप्ट कोडहरू र स्रोतहरू लोड गर्दै।
• सुरक्षा विश्लेषणबाट बच्नको लागि एन्क्रिप्टेड क्लिकफिक्स HTML कोड।

इन्क्रिप्टेड पेलोडहरू सहितको बहु-चरण आक्रमण

एक पटक पीडितले ह्याक गरिएको वेबसाइटमा गएपछि, आक्रमण धेरै चरणहरूमा प्रकट हुन्छ:

• प्रणाली जानकारी सङ्कलन गर्न Binance स्मार्ट चेनबाट JavaScript को पुन: प्राप्ति।

• क्लाउडफ्लेयर पृष्ठहरूबाट इन्क्रिप्टेड क्लिकफिक्स स्क्रिप्ट प्राप्त गर्दै।

• मालिसियस पावरशेल आदेशको कार्यान्वयन, जसले गर्दा मालवेयर तैनाथी हुन्छ।

यदि पीडितले दुर्भावनापूर्ण कार्य अगाडि बढायो भने, Emmenhtal लोडर (उर्फ PEAKLIGHT) कार्यान्वयन गरिन्छ, जसले अन्ततः प्रणालीमा Lumma Stealer स्थापना गर्दछ।

विकसित रणनीतिहरू: ठूलो स्तरको खतरा

जनवरी २०२५ सम्ममा, सुरक्षा अनुसन्धानकर्ताहरूले Vidar Stealer स्थापना गर्न PowerShell लोडरहरू प्रयोग गरेर नयाँ ClearFake आक्रमण श्रृंखलाहरू अवलोकन गरे। गत महिनासम्म, कम्तिमा ९,३०० वेबसाइटहरू सम्झौता गरिएका छन्।

आक्रमणकारीहरूले ClearFake फ्रेमवर्कलाई निरन्तर अपडेट गर्छन्, यसको लुर, स्क्रिप्ट र पेलोडहरू दैनिक परिमार्जन गर्छन्। मालवेयरले अब Binance स्मार्ट चेन भित्र धेरै प्रमुख तत्वहरू भण्डारण गर्दछ, जसमा समावेश छन्:

• जाभास्क्रिप्ट कोड
• AES इन्क्रिप्शन कुञ्जीहरू
• दुर्भावनापूर्ण लुर फाइलहरू होस्ट गर्ने URL हरू
• PowerShell आदेशहरू ठीक गर्नुहोस् क्लिक गर्नुहोस्

सामूहिक संक्रमण र व्यापक एक्सपोजर

ClearFake संक्रमणको मात्रा उल्लेखनीय छ, जसले विश्वभरका धेरै प्रयोगकर्ताहरूलाई असर गर्छ। जुलाई २०२४ मा, लगभग २००,००० अद्वितीय प्रयोगकर्ताहरू सम्भावित रूपमा ClearFake lures को सम्पर्कमा आएका थिए जसले उनीहरूलाई मालवेयर डाउनलोड गर्न प्रेरित गर्‍यो।

क्लिकफिक्सले अटो डिलरशिप वेबसाइटहरूसँग सम्झौता गर्छ

ClickFix को लागि एक महत्वपूर्ण आक्रमण भेक्टर अटो डिलरशिप वेबसाइटहरू हुन्। १०० भन्दा बढी डिलरशिप साइटहरू सम्झौता गरिएका थिए, जसमा SectopRAT मालवेयर ClickFix lures मार्फत डेलिभर गरिएको थियो।

यद्यपि, डिलरशिपहरूको आफ्नै वेबसाइटहरू प्रत्यक्ष रूपमा संक्रमित भएनन्। बरु, सम्झौता तेस्रो-पक्ष भिडियो सेवा मार्फत भएको थियो जसले अनजानमा सम्झौता गरिएको जाभास्क्रिप्ट इन्जेक्सन होस्ट गरेको थियो। यो घटना आपूर्ति श्रृंखला आक्रमण जस्तो देखिन्छ, जसले तेस्रो-पक्ष सेवाहरूमा कमजोरीहरूबाट उत्पन्न जोखिमहरूलाई हाइलाइट गर्दछ। त्यसपछि संक्रमित साइटबाट दुर्भावनापूर्ण स्क्रिप्ट हटाइएको छ।

अन्तिम विचार: एक निरन्तर र विस्तारित खतरा

ClearFake अभियानले उन्नत ब्लकचेन-आधारित प्रविधिहरू, सामाजिक इन्जिनियरिङ, र बहु-चरण संक्रमण शृङ्खलाहरूको लाभ उठाउँदै विकास जारी राखेको छ। हजारौं सम्झौता गरिएका साइटहरू र लाखौं सम्भावित पीडितहरू सहितको यसको प्रभावको मात्राले यस्ता परिष्कृत मालवेयर खतराहरू विरुद्ध रक्षा गर्न बलियो साइबर सुरक्षा उपायहरूको तत्काल आवश्यकतालाई जोड दिन्छ।