ClearFake Attack Campaign

ClearFake ਮੁਹਿੰਮ ਦੇ ਪਿੱਛੇ ਸਾਈਬਰ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਾਰਕੁਨ ਨਕਲੀ reCAPTCHA ਅਤੇ Cloudflare Turnstile ਵੈਰੀਫਿਕੇਸ਼ਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਬੇਖਬਰ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਮਾਲਵੇਅਰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਭਰਮਾਉਂਦੇ ਹਨ। ਇਹ ਧੋਖਾਧੜੀ ਤਕਨੀਕਾਂ Lumma Stealer ਅਤੇ Vidar Stealer ਵਰਗੇ ਜਾਣਕਾਰੀ ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਮਾਲਵੇਅਰ ਨੂੰ ਵੰਡਣ ਲਈ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ।

ਨਕਲੀ ਬ੍ਰਾਊਜ਼ਰ ਅੱਪਡੇਟ ਇੱਕ ਮਾਲਵੇਅਰ ਜਾਲ ਵਜੋਂ

ਜੁਲਾਈ 2023 ਵਿੱਚ ਪਹਿਲੀ ਵਾਰ ਪਛਾਣਿਆ ਗਿਆ, ClearFake ਇੱਕ ਖਤਰਨਾਕ ਮੁਹਿੰਮ ਹੈ ਜੋ ਪੀੜਤਾਂ ਨੂੰ ਲੁਭਾਉਣ ਲਈ ਨਕਲੀ ਵੈੱਬ ਬ੍ਰਾਊਜ਼ਰ ਅਪਡੇਟ ਪ੍ਰੋਂਪਟ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਵਰਡਪ੍ਰੈਸ ਸਾਈਟਾਂ ਰਾਹੀਂ ਫੈਲਦੀ ਹੈ। ਇਹ ਤਰੀਕਾ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਲਈ ਇੱਕ ਪਸੰਦੀਦਾ ਤਕਨੀਕ ਰਿਹਾ ਹੈ ਜੋ ਮਾਲਵੇਅਰ ਨੂੰ ਕੁਸ਼ਲਤਾ ਨਾਲ ਤੈਨਾਤ ਕਰਨਾ ਚਾਹੁੰਦੇ ਹਨ।

ਸਟੀਲਥ ਅਤੇ ਦ੍ਰਿੜਤਾ ਲਈ ਈਥਰਹਾਈਡਿੰਗ ਦਾ ਲਾਭ ਉਠਾਉਣਾ

ClearFake ਦੀ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਦਾ ਇੱਕ ਮੁੱਖ ਪਹਿਲੂ EtherHiding ਹੈ, ਇੱਕ ਤਕਨੀਕ ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ Binance ਦੇ ਸਮਾਰਟ ਚੇਨ (BSC) ਕੰਟਰੈਕਟਸ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਅਗਲੇ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ। ਇਹ ਪਹੁੰਚ ਵਿਕੇਂਦਰੀਕ੍ਰਿਤ ਬਲਾਕਚੈਨ ਤਕਨਾਲੋਜੀ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਹਮਲੇ ਦੀ ਲਚਕਤਾ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਖੋਜ ਅਤੇ ਟੇਕਡਾਉਨ ਯਤਨਾਂ ਨੂੰ ਹੋਰ ਚੁਣੌਤੀਪੂਰਨ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ।

ਕਲਿਕਫਿਕਸ ਦਾ ਉਭਾਰ: ਇੱਕ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਚਾਲ

ਮਈ 2024 ਤੱਕ, ਕਲੀਅਰਫੇਕ ਨੇ ਕਲਿੱਕਫਿਕਸ ਨੂੰ ਸ਼ਾਮਲ ਕਰ ਲਿਆ ਸੀ, ਇੱਕ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਟ੍ਰਿਕ ਜੋ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇੱਕ ਗੈਰ-ਮੌਜੂਦ ਤਕਨੀਕੀ ਸਮੱਸਿਆ ਨੂੰ ਹੱਲ ਕਰਨ ਦੇ ਝੂਠੇ ਬਹਾਨੇ ਹੇਠ ਖਤਰਨਾਕ ਪਾਵਰਸ਼ੈਲ ਕੋਡ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਧੋਖਾ ਦੇਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਹ ਤਕਨੀਕ ਹਮਲਾਵਰਾਂ ਨੂੰ ਪੀੜਤ ਦੇ ਸਿਸਟਮ 'ਤੇ ਹੋਰ ਨਿਯੰਤਰਣ ਪ੍ਰਾਪਤ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕਰਦੀ ਹੈ।

ClearFake ਦੇ ਨਵੀਨਤਮ ਰੂਪ ਵਿੱਚ ਉੱਨਤ Web3 ਸਮਰੱਥਾਵਾਂ

ਕਲੀਅਰਫੇਕ ਮੁਹਿੰਮ ਦੇ ਨਵੀਨਤਮ ਸੰਸਕਰਣਾਂ ਵਿੱਚ ਈਥਰਹਾਈਡਿੰਗ ਅਤੇ ਕਲਿੱਕਫਿਕਸ ਦੀ ਵਰਤੋਂ ਜਾਰੀ ਹੈ, ਪਰ ਮਹੱਤਵਪੂਰਨ ਤਰੱਕੀਆਂ ਦੇ ਨਾਲ। ਇਹਨਾਂ ਅਪਡੇਟਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਸਮਾਰਟ ਕੰਟਰੈਕਟ ਐਪਲੀਕੇਸ਼ਨ ਬਾਈਨਰੀ ਇੰਟਰਫੇਸ (ABIs) ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, Binance ਸਮਾਰਟ ਚੇਨ ਨਾਲ ਵਧੇਰੇ ਪਰਸਪਰ ਪ੍ਰਭਾਵ।
• ਪੀੜਤਾਂ ਦੇ ਸਿਸਟਮਾਂ ਦੀ ਵਧੀ ਹੋਈ ਫਿੰਗਰਪ੍ਰਿੰਟਿੰਗ, ਕਈ ਜਾਵਾ ਸਕ੍ਰਿਪਟ ਕੋਡ ਅਤੇ ਸਰੋਤ ਲੋਡ ਕਰਨਾ।
• ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਬਚਣ ਲਈ ਏਨਕ੍ਰਿਪਟਡ ਕਲਿਕਫਿਕਸ HTML ਕੋਡ।

ਏਨਕ੍ਰਿਪਟਡ ਪੇਲੋਡਸ ਦੇ ਨਾਲ ਇੱਕ ਮਲਟੀ-ਸਟੇਜ ਅਟੈਕ

ਇੱਕ ਵਾਰ ਜਦੋਂ ਕੋਈ ਪੀੜਤ ਕਿਸੇ ਖਰਾਬ ਵੈੱਬਸਾਈਟ 'ਤੇ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਹਮਲਾ ਕਈ ਪੜਾਵਾਂ ਵਿੱਚ ਹੁੰਦਾ ਹੈ:

• ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਲਈ Binance ਸਮਾਰਟ ਚੇਨ ਤੋਂ JavaScript ਦੀ ਪ੍ਰਾਪਤੀ।

• ਕਲਾਉਡਫਲੇਅਰ ਪੇਜਾਂ ਤੋਂ ਇੱਕ ਏਨਕ੍ਰਿਪਟਡ ਕਲਿਕਫਿਕਸ ਸਕ੍ਰਿਪਟ ਪ੍ਰਾਪਤ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ।

• ਇੱਕ ਖਤਰਨਾਕ PowerShell ਕਮਾਂਡ ਨੂੰ ਲਾਗੂ ਕਰਨਾ, ਜਿਸ ਨਾਲ ਮਾਲਵੇਅਰ ਤੈਨਾਤੀ ਹੁੰਦੀ ਹੈ।

ਜੇਕਰ ਪੀੜਤ ਖਤਰਨਾਕ ਕਾਰਵਾਈ ਨਾਲ ਅੱਗੇ ਵਧਦਾ ਹੈ, ਤਾਂ ਐਮੇਨਹਟਲ ਲੋਡਰ (ਉਰਫ਼ ਪੀਕਲਾਈਟ) ਨੂੰ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ, ਜੋ ਅੰਤ ਵਿੱਚ ਸਿਸਟਮ 'ਤੇ ਲੂਮਾ ਸਟੀਲਰ ਸਥਾਪਤ ਕਰਦਾ ਹੈ।

ਵਿਕਸਤ ਹੋ ਰਹੀਆਂ ਰਣਨੀਤੀਆਂ: ਇੱਕ ਵੱਡੇ ਪੱਧਰ ਦਾ ਖ਼ਤਰਾ

ਜਨਵਰੀ 2025 ਤੱਕ, ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਵਿਦਰ ਸਟੀਲਰ ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਪਾਵਰਸ਼ੈਲ ਲੋਡਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਨਵੀਆਂ ਕਲੀਅਰਫੇਕ ਅਟੈਕ ਚੇਨਾਂ ਵੇਖੀਆਂ। ਪਿਛਲੇ ਮਹੀਨੇ ਤੱਕ, ਘੱਟੋ-ਘੱਟ 9,300 ਵੈੱਬਸਾਈਟਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਹੈ।

ਹਮਲਾਵਰ ਲਗਾਤਾਰ ClearFake ਫਰੇਮਵਰਕ ਨੂੰ ਅਪਡੇਟ ਕਰਦੇ ਰਹਿੰਦੇ ਹਨ, ਇਸਦੇ ਲੂਰ, ਸਕ੍ਰਿਪਟਾਂ ਅਤੇ ਪੇਲੋਡਾਂ ਨੂੰ ਰੋਜ਼ਾਨਾ ਸੋਧਦੇ ਰਹਿੰਦੇ ਹਨ। ਮਾਲਵੇਅਰ ਹੁਣ Binance ਸਮਾਰਟ ਚੇਨ ਦੇ ਅੰਦਰ ਕਈ ਮੁੱਖ ਤੱਤਾਂ ਨੂੰ ਸਟੋਰ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਜਾਵਾ ਸਕ੍ਰਿਪਟ ਕੋਡ
• AES ਇਨਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀਆਂ
• ਖਤਰਨਾਕ ਲੂਰ ਫਾਈਲਾਂ ਨੂੰ ਹੋਸਟ ਕਰਨ ਵਾਲੇ URL
• ਪਾਵਰਸ਼ੈਲ ਕਮਾਂਡਾਂ 'ਤੇ ਕਲਿੱਕ ਕਰੋ

ਵੱਡੇ ਪੱਧਰ 'ਤੇ ਇਨਫੈਕਸ਼ਨ ਅਤੇ ਵਿਆਪਕ ਐਕਸਪੋਜਰ

ClearFake ਇਨਫੈਕਸ਼ਨਾਂ ਦਾ ਪੈਮਾਨਾ ਮਹੱਤਵਪੂਰਨ ਹੈ, ਜੋ ਦੁਨੀਆ ਭਰ ਵਿੱਚ ਵੱਡੀ ਗਿਣਤੀ ਵਿੱਚ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦਾ ਹੈ। ਜੁਲਾਈ 2024 ਵਿੱਚ, ਲਗਭਗ 200,000 ਵਿਲੱਖਣ ਉਪਭੋਗਤਾ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ClearFake ਦੇ ਲਾਲਚਾਂ ਦੇ ਸੰਪਰਕ ਵਿੱਚ ਆਏ ਸਨ ਜਿਨ੍ਹਾਂ ਨੇ ਉਨ੍ਹਾਂ ਨੂੰ ਮਾਲਵੇਅਰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਪ੍ਰੇਰਿਤ ਕੀਤਾ।

ਕਲਿਕਫਿਕਸ ਆਟੋ ਡੀਲਰਸ਼ਿਪ ਵੈੱਬਸਾਈਟਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਦਾ ਹੈ

ClickFix ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਹਮਲੇ ਦਾ ਵੈਕਟਰ ਆਟੋ ਡੀਲਰਸ਼ਿਪ ਵੈੱਬਸਾਈਟਾਂ ਰਹੀਆਂ ਹਨ। 100 ਤੋਂ ਵੱਧ ਡੀਲਰਸ਼ਿਪ ਸਾਈਟਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸ ਵਿੱਚ SectopRAT ਮਾਲਵੇਅਰ ClickFix ਲੂਰ ਰਾਹੀਂ ਡਿਲੀਵਰ ਕੀਤਾ ਗਿਆ ਸੀ।

ਹਾਲਾਂਕਿ, ਡੀਲਰਸ਼ਿਪਾਂ ਦੀਆਂ ਆਪਣੀਆਂ ਵੈੱਬਸਾਈਟਾਂ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਸੰਕਰਮਿਤ ਨਹੀਂ ਹੋਈਆਂ ਸਨ। ਇਸ ਦੀ ਬਜਾਏ, ਸਮਝੌਤਾ ਇੱਕ ਤੀਜੀ-ਧਿਰ ਵੀਡੀਓ ਸੇਵਾ ਰਾਹੀਂ ਹੋਇਆ ਜਿਸਨੇ ਅਣਜਾਣੇ ਵਿੱਚ ਸਮਝੌਤਾ ਕੀਤੇ ਜਾਵਾ ਸਕ੍ਰਿਪਟ ਇੰਜੈਕਸ਼ਨ ਨੂੰ ਹੋਸਟ ਕੀਤਾ ਸੀ। ਇਹ ਘਟਨਾ ਇੱਕ ਸਪਲਾਈ ਚੇਨ ਹਮਲਾ ਜਾਪਦੀ ਹੈ, ਜੋ ਤੀਜੀ-ਧਿਰ ਸੇਵਾਵਾਂ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦੁਆਰਾ ਪੈਦਾ ਹੋਣ ਵਾਲੇ ਜੋਖਮਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਉਦੋਂ ਤੋਂ ਖਤਰਨਾਕ ਸਕ੍ਰਿਪਟ ਨੂੰ ਸੰਕਰਮਿਤ ਸਾਈਟ ਤੋਂ ਹਟਾ ਦਿੱਤਾ ਗਿਆ ਹੈ।

ਅੰਤਿਮ ਵਿਚਾਰ: ਇੱਕ ਸਥਾਈ ਅਤੇ ਵਧਦਾ ਖ਼ਤਰਾ

ਕਲੀਅਰਫੇਕ ਮੁਹਿੰਮ ਵਿਕਸਤ ਹੁੰਦੀ ਰਹਿੰਦੀ ਹੈ, ਉੱਨਤ ਬਲਾਕਚੈਨ-ਅਧਾਰਤ ਤਕਨੀਕਾਂ, ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ, ਅਤੇ ਮਲਟੀ-ਸਟੇਜ ਇਨਫੈਕਸ਼ਨ ਚੇਨਾਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦੀ ਹੈ। ਹਜ਼ਾਰਾਂ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਸਾਈਟਾਂ ਅਤੇ ਲੱਖਾਂ ਸੰਭਾਵੀ ਪੀੜਤਾਂ ਦੇ ਨਾਲ, ਇਸਦੇ ਪ੍ਰਭਾਵ ਦਾ ਪੈਮਾਨਾ, ਅਜਿਹੇ ਗੁੰਝਲਦਾਰ ਮਾਲਵੇਅਰ ਖਤਰਿਆਂ ਤੋਂ ਬਚਾਅ ਲਈ ਮਜ਼ਬੂਤ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਦੀ ਤੁਰੰਤ ਲੋੜ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ।