Oferta rabatowa na wiele licencji
Baza danych zagrożeń Phishing Kampania ataku ClearFake

Kampania ataku ClearFake

Do Mezo w Phishing, Złośliwe oprogramowanie, Narzędzia do zdalnej administracji
Przetłumacz na:
Polski

Cyberprzestępcy stojący za kampanią ClearFake używają fałszywych weryfikacji reCAPTCHA i Cloudflare Turnstile, aby oszukać niczego niepodejrzewających użytkowników i nakłonić ich do pobrania złośliwego oprogramowania. Te oszukańcze techniki są wykorzystywane do dystrybucji złośliwego oprogramowania kradnącego informacje, takiego jak Lumma Stealer i Vidar Stealer .

Fałszywe aktualizacje przeglądarek jako pułapka na złośliwe oprogramowanie

Pierwszy raz zidentyfikowany w lipcu 2023 r. ClearFake to złośliwa kampania, która rozprzestrzenia się za pośrednictwem zainfekowanych witryn WordPress, wykorzystując fałszywe monity o aktualizację przeglądarki internetowej, aby zwabić ofiary. Ta metoda jest ulubioną techniką cyberprzestępców, którzy chcą skutecznie wdrażać złośliwe oprogramowanie.

Wykorzystanie EtherHiding do ukrycia i trwałości

Kluczowym aspektem łańcucha infekcji ClearFake jest EtherHiding, technika, która pozwala atakującym pobrać ładunek następnego etapu przy użyciu kontraktów Smart Chain (BSC) Binance. To podejście zwiększa odporność ataku, wykorzystując zdecentralizowaną technologię blockchain, co sprawia, że wykrywanie i usuwanie jest trudniejsze.

Powstanie ClickFix: sztuczka socjotechniczna

Do maja 2024 r. ClearFake wprowadził ClickFix, sztuczkę socjotechniczną mającą na celu oszukanie użytkowników i nakłonienie ich do wykonania złośliwego kodu PowerShell pod fałszywym pretekstem naprawy nieistniejącego problemu technicznego. Ta technika pomaga atakującym uzyskać dalszą kontrolę nad systemem ofiary.

Zaawansowane możliwości Web3 w najnowszej wersji ClearFake

Najnowsze wersje kampanii ClearFake nadal wykorzystują EtherHiding i ClickFix, ale z zauważalnymi postępami. Te aktualizacje obejmują:

  • Większa interakcja z Binance Smart Chain przy użyciu inteligentnych kontraktów Application Binary Interfaces (ABI).
  • Udoskonalone odciski palców systemów ofiar, ładowanie wielu kodów JavaScript i zasobów.
  • Zaszyfrowany kod HTML ClickFix umożliwiający ominięcie analizy bezpieczeństwa.

Wieloetapowy atak z wykorzystaniem zaszyfrowanych ładunków

Gdy ofiara odwiedzi zainfekowaną stronę internetową, atak przebiega w kilku etapach:

  • Pobieranie JavaScript z Binance Smart Chain w celu zebrania informacji o systemie.
  • Pobieranie zaszyfrowanego skryptu ClickFix ze stron Cloudflare.
  • Wykonanie złośliwego polecenia programu PowerShell, prowadzące do zainstalowania złośliwego oprogramowania.

Jeśli ofiara podejmie szkodliwą czynność, uruchomiony zostanie program Emmenhtal Loader (znany również jako PEAKLIGHT), który ostatecznie zainstaluje w systemie Lumma Stealer.

Ewoluujące taktyki: zagrożenie na dużą skalę

Do stycznia 2025 r. badacze bezpieczeństwa zaobserwowali nowe łańcuchy ataków ClearFake wykorzystujące ładowarki PowerShell do instalowania Vidar Stealer. Do zeszłego miesiąca naruszono bezpieczeństwo co najmniej 9300 witryn.

Atakujący nieustannie aktualizują strukturę ClearFake, codziennie modyfikując jej przynęty, skrypty i ładunki. Złośliwe oprogramowanie przechowuje teraz wiele kluczowych elementów w Binance Smart Chain, w tym:

  • Kod JavaScript
  • Klucze szyfrowania AES
  • Adresy URL zawierające złośliwe pliki-wabiki
  • Polecenia ClickFix PowerShell

Masowe zakażenia i powszechna ekspozycja

Skala infekcji ClearFake jest znacząca i dotyka ogromną liczbę użytkowników na całym świecie. W lipcu 2024 r. około 200 000 unikalnych użytkowników zostało potencjalnie narażonych na przynęty ClearFake, które skłoniły ich do pobrania złośliwego oprogramowania.

ClickFix kompromituje strony internetowe dealerów samochodowych

Istotnym wektorem ataku dla ClickFix były witryny dealerów samochodowych. Ponad 100 witryn dealerskich zostało naruszonych, a złośliwe oprogramowanie SectopRAT zostało dostarczone za pośrednictwem przynęt ClickFix.

Jednak witryny internetowe dealerów nie zostały bezpośrednio zainfekowane. Zamiast tego, naruszenie nastąpiło za pośrednictwem usługi wideo innej firmy, która nieświadomie hostowała zainfekowany kod JavaScript. Ten incydent wydaje się być atakiem na łańcuch dostaw, co podkreśla ryzyko związane z lukami w usługach innych firm. Złośliwy skrypt został już usunięty z zainfekowanej witryny.

Ostatnie przemyślenia: Trwałe i rozszerzające się zagrożenie

Kampania ClearFake nadal ewoluuje, wykorzystując zaawansowane techniki oparte na blockchain, inżynierię społeczną i wieloetapowe łańcuchy infekcji. Skala jej wpływu, z tysiącami zainfekowanych witryn i setkami tysięcy potencjalnych ofiar, podkreśla pilną potrzebę solidnych środków cyberbezpieczeństwa w celu obrony przed tak wyrafinowanymi zagrożeniami ze strony złośliwego oprogramowania.

 

Popularne

Warianty złośliwego oprogramowania Sagerunex

Zaawansowane trwałe zagrożenie (APT), Tylne drzwi
Znany aktor zagrożeń znany jako Lotus Panda został zauważony podczas przeprowadzania cyberataków na sektory rządowy, produkcyjny, telekomunikacyjny i medialny na Filipinach, w Wietnamie, Hongkongu i na Tajwanie. Ataki te obejmują zaktualizowane wersje backdoora Sagerunex , szczepu złośliwego oprogramowania, który Lotus Panda wykorzystuje od co najmniej 2016 r. Grupa APT (Advanced Persistent...

Solvay - Nowe relacje biznesowe - oszustwo e-mailowe

Phishing, Spam
Cyfrowy krajobraz jest pełen możliwości, ale także zagrożeń. Cyberprzestępcy nieustannie rozwijają swoje taktyki, tworząc wyrafinowane schematy, które żerują zarówno na firmach, jak i osobach fizycznych. Jednym z takich oszukańczych schematów jest oszustwo e-mailowe „Solvay - New Business Relationships”, kampania phishingowa mająca na celu zbieranie poufnych informacji i aktywów finansowych....

Najczęściej oglądane

Ładowanie...