Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Phishing ClearFake-aanvalscampagne

ClearFake-aanvalscampagne

Tegen Mezo in Phishing, Malware, Hulpmiddelen voor extern beheer
Vertalen naar:
Nederlands

De cyberdreigingsactoren achter de ClearFake-campagne hebben nep-reCAPTCHA en Cloudflare Turnstile-verificaties gebruikt om nietsvermoedende gebruikers te misleiden tot het downloaden van malware. Deze misleidende technieken worden gebruikt om informatie-stelende malware te verspreiden, zoals de Lumma Stealer en de Vidar Stealer .

Nepbrowserupdates als malwareval

ClearFake, voor het eerst geïdentificeerd in juli 2023, is een kwaadaardige campagne die zich verspreidt via gecompromitteerde WordPress-sites, waarbij neppe prompts voor webbrowserupdates worden gebruikt om slachtoffers te lokken. Deze methode is een favoriete techniek voor cybercriminelen die malware efficiënt willen implementeren.

EtherHiding gebruiken voor stealth en persistentie

Een belangrijk aspect van ClearFake's infectieketen is EtherHiding, een techniek waarmee aanvallers de volgende fase-payload kunnen ophalen met behulp van Binance's Smart Chain (BSC)-contracten. Deze aanpak verbetert de veerkracht van de aanval door gebruik te maken van gedecentraliseerde blockchaintechnologie, waardoor detectie- en verwijderingsinspanningen uitdagender worden.

De opkomst van ClickFix: een social engineering-truc

In mei 2024 had ClearFake ClickFix opgenomen, een social engineeringtruc die is ontworpen om gebruikers te misleiden om kwaadaardige PowerShell-code uit te voeren onder het valse voorwendsel van het oplossen van een niet-bestaand technisch probleem. Deze techniek helpt aanvallers om meer controle te krijgen over het systeem van het slachtoffer.

Geavanceerde Web3-mogelijkheden in de nieuwste variant van ClearFake

De laatste iteraties van de ClearFake-campagne blijven EtherHiding en ClickFix gebruiken, maar met opmerkelijke verbeteringen. Deze updates omvatten:

  • Meer interactie met Binance Smart Chain door gebruik te maken van slimme contract Application Binary Interfaces (ABI's).
  • Verbeterde vingerafdrukken van de systemen van slachtoffers, waarbij meerdere JavaScript-codes en bronnen worden geladen.
  • Versleutelde ClickFix HTML-code om beveiligingsanalyse te omzeilen.

Een aanval in meerdere fasen met versleutelde payloads

Zodra een slachtoffer een gecompromitteerde website bezoekt, verloopt de aanval in verschillende fasen:

  • JavaScript ophalen uit Binance Smart Chain om systeemgegevens te verzamelen.
  • Een gecodeerd ClickFix-script ophalen van Cloudflare Pages.
  • Uitvoering van een schadelijke PowerShell-opdracht, wat leidt tot de implementatie van malware.

Als het slachtoffer de kwaadaardige actie uitvoert, wordt de Emmenhtal Loader (ook bekend als PEAKLIGHT) uitgevoerd, waardoor Lumma Stealer uiteindelijk op het systeem wordt geïnstalleerd.

Evoluerende tactieken: een grootschalige bedreiging

In januari 2025 observeerden beveiligingsonderzoekers nieuwe ClearFake-aanvalsketens die PowerShell-loaders gebruikten om Vidar Stealer te installeren. Sinds vorige maand zijn er minstens 9.300 websites gecompromitteerd.

Aanvallers updaten het ClearFake-framework continu en wijzigen dagelijks de lokkertjes, scripts en payloads. De malware slaat nu meerdere sleutelelementen op in Binance Smart Chain, waaronder:

  • JavaScript-code
  • AES-encryptiesleutels
  • URL's die schadelijke lokbestanden hosten
  • ClickFix PowerShell-opdrachten

Massale infecties en wijdverbreide blootstelling

De omvang van ClearFake-infecties is aanzienlijk en treft een groot aantal gebruikers wereldwijd. In juli 2024 werden ongeveer 200.000 unieke gebruikers mogelijk blootgesteld aan ClearFake-lokkertjes die hen ertoe aanzetten malware te downloaden.

ClickFix compromitteert websites van autodealers

Een belangrijke aanvalsvector voor ClickFix zijn autodealerwebsites geweest. Meer dan 100 dealersites werden gecompromitteerd, waarbij de SectopRAT-malware werd afgeleverd via ClickFix-lokmiddelen.

De websites van de dealers zelf werden echter niet rechtstreeks geïnfecteerd. In plaats daarvan vond de inbreuk plaats via een externe videodienst die onbewust de gecompromitteerde JavaScript-injectie hostte. Dit incident lijkt een supply chain-aanval te zijn, wat de risico's benadrukt die kwetsbaarheden in externe diensten met zich meebrengen. Het schadelijke script is inmiddels van de geïnfecteerde site verwijderd.

Laatste gedachten: een aanhoudende en groeiende bedreiging

De ClearFake-campagne blijft evolueren en maakt gebruik van geavanceerde blockchain-gebaseerde technieken, social engineering en multi-stage infectieketens. De omvang van de impact, met duizenden gecompromitteerde sites en honderdduizenden potentiële slachtoffers, onderstreept de dringende behoefte aan robuuste cybersecuritymaatregelen om zich te verdedigen tegen dergelijke geavanceerde malwarebedreigingen.

 

Trending

Meest bekeken

Bezig met laden...