Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Phishing ClearFake Attack Campaign

ClearFake Attack Campaign

Por Mezo em Phishing, Malware, Ferramentas de Administração Remota
Traduzir Para:
Português

Os autores de ameaças cibernéticas por trás da campanha ClearFake têm usado verificações falsas de reCAPTCHA e Cloudflare Turnstile para enganar usuários desavisados e fazê-los baixar malware. Essas técnicas enganosas são empregadas para distribuir malwares que roubam informações, como o Lumma Stealer e o Vidar Stealer.

Falsas Atualizações do Navegador como uma Armadilha para Malware

Identificado pela primeira vez em julho de 2023, o ClearFake é uma campanha maliciosa que se espalha por sites WordPress comprometidos, usando avisos falsos de atualização do navegador para atrair vítimas. Esse método tem sido uma técnica preferida por criminosos cibernéticos que buscam implantar malware de forma eficiente.

Aproveitando o EtherHiding para Furtividade e Persistência

Um aspecto fundamental da cadeia de infecção da ClearFake é o EtherHiding, uma técnica que permite que os invasores busquem a carga útil do próximo estágio usando contratos da Smart Chain (BSC) da Binance. Essa abordagem aumenta a resiliência do ataque ao alavancar a tecnologia de blockchain descentralizada, tornando os esforços de detecção e remoção mais desafiadores.

O Surgimento do ClickFix: Uma Jogada de Engenharia Social

Em maio de 2024, a ClearFake incorporou o ClickFix, um truque de engenharia social projetado para enganar usuários a executar código PowerShell malicioso sob o falso pretexto de consertar um problema técnico inexistente. Essa técnica ajuda os invasores a obter mais controle sobre o sistema da vítima.

Recursos Avançados do Web3 na Ultima Variante do ClearFake

As últimas iterações da campanha ClearFake continuam a empregar EtherHiding e ClickFix, mas com avanços notáveis. Essas atualizações incluem:

  • Maior interação com a Binance Smart Chain, usando Interfaces Binárias de Aplicação (ABIs) de contratos inteligentes.
  • Impressão digital aprimorada dos sistemas das vítimas, carregando vários códigos e recursos JavaScript.
  • Código HTML ClickFix criptografado para evitar análise de segurança.

Um Ataque em Vários Estágios com Cargas Úteis Criptografadas

Depois que a vítima visita um site comprometido, o ataque se desenrola em vários estágios:

  • Recuperação de JavaScript da Binance Smart Chain para coletar informações do sistema.
  • Obtendo um script ClickFix criptografado do Cloudflare Pages.
  • Execução de um comando malicioso do PowerShell, levando à implantação de malware.

Se a vítima prosseguir com a ação maliciosa, o Emmenhtal Loader (também conhecido como PEAKLIGHT) é executado, o que acaba instalando o Lumma Stealer no sistema.

Táticas em Evolução: Uma Ameaça em Larga Escala

Em janeiro de 2025, pesquisadores de segurança observaram novas cadeias de ataque ClearFake utilizando carregadores PowerShell para instalar o Vidar Stealer. Até o mês passado, pelo menos 9.300 sites foram comprometidos.

Os invasores atualizam continuamente a estrutura ClearFake, modificando suas iscas, scripts e payloads diariamente. O malware agora armazena vários elementos-chave dentro da Binance Smart Chain, incluindo:

  • Código JavaScript
  • Chaves de criptografia AES
  • URLs que hospedam arquivos de isca maliciosos
  • Comandos do PowerShell do ClickFix

Infecções em Massa e Exposição Generalizada

A escala de infecções do ClearFake é significativa, afetando um vasto número de usuários no mundo todo. Em julho de 2024, aproximadamente 200.000 usuários únicos foram potencialmente expostos a iscas do ClearFake que os levaram a baixar malware.

O ClickFix Compromete os Sites de Concessionárias de Automóveis

Um vetor de ataque significativo para o ClickFix tem sido sites de concessionárias de automóveis. Mais de 100 sites de concessionárias foram comprometidos, com o malware SectopRAT sendo entregue via iscas do ClickFix.

No entanto, os próprios sites das concessionárias não foram infectados diretamente. Em vez disso, o comprometimento ocorreu por meio de um serviço de vídeo de terceiros que, sem saber, hospedou a injeção de JavaScript comprometida. Este incidente parece ser um ataque à cadeia de suprimentos, destacando os riscos representados por vulnerabilidades em serviços de terceiros. O script malicioso foi removido do site infectado.

Considerações Finais: Uma Ameaça Persistente e Crescente

A campanha ClearFake continua a evoluir, alavancando técnicas avançadas baseadas em blockchain, engenharia social e cadeias de infecção de múltiplos estágios. A escala de seu impacto, com milhares de sites comprometidos e centenas de milhares de vítimas em potencial, ressalta a necessidade urgente de medidas robustas de segurança cibernética para se defender contra tais ameaças sofisticadas de malware.

Tendendo

Mais visto

Carregando...