Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări phishing Campanie ClearFake Attack

Campanie ClearFake Attack

Până în Mezo în phishing, Programe malware, Instrumente de administrare la distanță
Tradu in:
Română

Actorii amenințărilor cibernetice din spatele campaniei ClearFake au folosit verificări false reCAPTCHA și Cloudflare Turnstile pentru a păcăli utilizatorii nebănuiți să descarce malware. Aceste tehnici înșelătoare sunt folosite pentru a distribui programe malware care fură informații, cum ar fi Lumma Stealer și Vidar Stealer .

Actualizări false de browser ca o capcană de malware

Identificată pentru prima dată în iulie 2023, ClearFake este o campanie rău intenționată care se răspândește prin site-uri WordPress compromise, folosind solicitări false de actualizare a browserului web pentru a atrage victimele. Această metodă a fost o tehnică preferată de infractorii cibernetici care doresc să implementeze malware în mod eficient.

Utilizarea EtherHiding pentru ascundere și persistență

Un aspect cheie al lanțului de infecții ClearFake este EtherHiding, o tehnică care permite atacatorilor să preia sarcina utilă din etapa următoare folosind contractele Smart Chain (BSC) ale Binance. Această abordare sporește rezistența atacului prin valorificarea tehnologiei blockchain descentralizate, făcând eforturile de detectare și eliminare mai dificile.

Apariția ClickFix: un joc de inginerie socială

Până în mai 2024, ClearFake a încorporat ClickFix, un truc de inginerie socială conceput pentru a înșela utilizatorii să execute cod PowerShell rău intenționat sub pretextul fals de a remedia o problemă tehnică inexistentă. Această tehnică ajută atacatorii să obțină control suplimentar asupra sistemului victimei.

Capabilități avansate Web3 în cea mai recentă variantă ClearFake

Cele mai recente iterații ale campaniei ClearFake continuă să folosească EtherHiding și ClickFix, dar cu progrese notabile. Aceste actualizări includ:

  • Interacțiune mai mare cu Binance Smart Chain, folosind Smart Contract Application Binary Interfaces (ABI).
  • Amprentarea îmbunătățită a sistemelor victimelor, încărcarea mai multor coduri și resurse JavaScript.
  • Cod HTML ClickFix criptat pentru a evita analiza de securitate.

Un atac în mai multe etape cu încărcături utile criptate

Odată ce o victimă vizitează un site web compromis, atacul se desfășoară în mai multe etape:

  • Preluare JavaScript din Binance Smart Chain pentru a colecta informații despre sistem.
  • Preluarea unui script ClickFix criptat din Cloudflare Pages.
  • Executarea unei comenzi PowerShell rău intenționate, care duce la implementarea programelor malware.

Dacă victima continuă cu acțiunea rău intenționată, se execută Emmenhtal Loader (alias PEAKLIGHT), care în cele din urmă instalează Lumma Stealer pe sistem.

Tactici în evoluție: o amenințare la scară largă

Până în ianuarie 2025, cercetătorii de securitate au observat noi lanțuri de atac ClearFake care utilizează încărcătoare PowerShell pentru a instala Vidar Stealer. De luna trecută, cel puțin 9.300 de site-uri web au fost compromise.

Atacatorii actualizează continuu cadrul ClearFake, modificând zilnic momelile, scripturile și încărcăturile utile. Programul malware stochează acum mai multe elemente cheie în Binance Smart Chain, inclusiv:

  • Cod JavaScript
  • Chei de criptare AES
  • URL-uri care găzduiesc fișiere lure rău intenționate
  • ClickFix comenzile PowerShell

Infecții în masă și expunere pe scară largă

Amploarea infecțiilor ClearFake este semnificativă, afectând un număr mare de utilizatori din întreaga lume. În iulie 2024, aproximativ 200.000 de utilizatori unici au fost potențial expuși la momeli ClearFake care i-au determinat să descarce malware.

ClickFix compromite site-urile web ale reprezentanțelor auto

Un vector de atac semnificativ pentru ClickFix au fost site-urile web ale reprezentanțelor auto. Peste 100 de site-uri de dealeri au fost compromise, malware-ul SectopRAT fiind livrat prin momeli ClickFix.

Cu toate acestea, site-urile proprii ale dealerilor nu au fost infectate direct. În schimb, compromisul a avut loc printr-un serviciu video terță parte care a găzduit, fără să știe, injecția JavaScript compromisă. Acest incident pare a fi un atac al lanțului de aprovizionare, evidențiind riscurile prezentate de vulnerabilitățile serviciilor de la terți. Scriptul rău intenționat a fost de atunci eliminat de pe site-ul infectat.

Gânduri finale: o amenințare persistentă și în expansiune

Campania ClearFake continuă să evolueze, valorificând tehnici avansate bazate pe blockchain, inginerie socială și lanțuri de infecție în mai multe etape. Amploarea impactului său, cu mii de site-uri compromise și sute de mii de potențiale victime, subliniază nevoia urgentă de măsuri solide de securitate cibernetică pentru a se apăra împotriva unor astfel de amenințări malware sofisticate.

 

Trending

Variante de malware Sagerunex

Amenințare persistentă avansată (APT), Ușile din spate
Notoriu actor de amenințare cunoscut sub numele de Lotus Panda a fost observat lansând atacuri cibernetice asupra sectoarelor guvernamentale, de producție, de telecomunicații și media din Filipine, Vietnam, Hong Kong și Taiwan. Aceste atacuri implică versiuni actualizate ale backdoor- ului Sagerunex , o tulpină de malware pe care Lotus Panda o folosește cel puțin din 2016. Grupul APT (Advanced...

Solvay - Înșelătorie prin e-mail pentru relații de...

phishing, Spam
Peisajul digital este plin de oportunități, dar și de pericole. Criminalii cibernetici își dezvoltă în mod constant tacticile, creând scheme sofisticate care exploatează atât companiile, cât și persoanele fizice. O astfel de schemă înșelătoare este înșelătoria prin e-mail „Solvay - New Business Relationships”, o campanie de phishing concepută pentru a colecta informații sensibile și active...

Cele mai văzute

Se încarcă...