Скидка на мультилицензию
База данных угроз Фишинг Кампания по атаке ClearFake

Кампания по атаке ClearFake

К Mezo году в Фишинг, Вредоносное ПО, Инструменты удаленного администрирования году
Перевести на:
Русский

Киберпреступники, стоящие за кампанией ClearFake, используют поддельные верификации reCAPTCHA и Cloudflare Turnstile, чтобы обманом заставить ничего не подозревающих пользователей загрузить вредоносное ПО. Эти обманные методы используются для распространения вредоносного ПО, крадущего информацию, такого как Lumma Stealer и Vidar Stealer .

Поддельные обновления браузера как ловушка для вредоносного ПО

Впервые обнаруженный в июле 2023 года, ClearFake — это вредоносная кампания, которая распространяется через взломанные сайты WordPress, используя поддельные запросы на обновление веб-браузера для заманивания жертв. Этот метод стал излюбленным приемом киберпреступников, стремящихся эффективно развертывать вредоносное ПО.

Использование EtherHiding для скрытности и стойкости

Ключевым аспектом цепочки заражения ClearFake является EtherHiding, техника, которая позволяет злоумышленникам извлекать полезную нагрузку следующего этапа с помощью контрактов Binance Smart Chain (BSC). Такой подход повышает устойчивость атаки за счет использования децентрализованной технологии блокчейна, что усложняет обнаружение и устранение.

Появление ClickFix: уловка социальной инженерии

К маю 2024 года ClearFake внедрил ClickFix — трюк социальной инженерии, призванный обмануть пользователей и заставить их выполнить вредоносный код PowerShell под ложным предлогом исправления несуществующей технической проблемы. Этот прием помогает злоумышленникам получить дополнительный контроль над системой жертвы.

Расширенные возможности Web3 в последней версии ClearFake

Последние итерации кампании ClearFake продолжают использовать EtherHiding и ClickFix, но с заметными улучшениями. Эти обновления включают:

  • Более тесное взаимодействие с Binance Smart Chain с использованием интерфейсов двоичных приложений смарт-контрактов (ABI).
  • Улучшенная идентификация систем жертв, загрузка нескольких кодов JavaScript и ресурсов.
  • Зашифрованный HTML-код ClickFix для обхода анализа безопасности.

Многоэтапная атака с зашифрованными полезными нагрузками

После того, как жертва посещает взломанный веб-сайт, атака разворачивается в несколько этапов:

  • Извлечение JavaScript из Binance Smart Chain для сбора системной информации.
  • Извлечение зашифрованного скрипта ClickFix из Cloudflare Pages.
  • Выполнение вредоносной команды PowerShell, приводящее к развертыванию вредоносного ПО.

Если жертва продолжает вредоносное действие, запускается Emmenhtal Loader (он же PEAKLIGHT), который в конечном итоге устанавливает в систему Lumma Stealer.

Эволюция тактики: масштабная угроза

К январю 2025 года исследователи безопасности наблюдали новые цепочки атак ClearFake, использующие загрузчики PowerShell для установки Vidar Stealer. По состоянию на прошлый месяц было скомпрометировано не менее 9300 веб-сайтов.

Атакующие постоянно обновляют фреймворк ClearFake, ежедневно изменяя его приманки, скрипты и полезные нагрузки. Вредоносная программа теперь хранит несколько ключевых элементов в Binance Smart Chain, включая:

  • JavaScript-код
  • Ключи шифрования AES
  • URL-адреса, на которых размещены вредоносные файлы-приманки
  • Команды PowerShell ClickFix

Массовые заражения и широкое распространение инфекции

Масштаб заражения ClearFake значителен и затронул огромное количество пользователей по всему миру. В июле 2024 года около 200 000 уникальных пользователей потенциально подверглись воздействию приманок ClearFake, которые побудили их загрузить вредоносное ПО.

ClickFix взламывает сайты автосалонов

Значительным вектором атак ClickFix стали сайты автосалонов. Было скомпрометировано более 100 сайтов автосалонов, при этом вредоносное ПО SectopRAT было доставлено через приманки ClickFix.

Однако веб-сайты самих дилеров не были напрямую заражены. Вместо этого взлом произошел через сторонний видеосервис, который неосознанно разместил скомпрометированную инъекцию JavaScript. Этот инцидент, по-видимому, является атакой на цепочку поставок, что подчеркивает риски, связанные с уязвимостями в сторонних сервисах. Вредоносный скрипт с тех пор был удален с зараженного сайта.

Заключительные мысли: постоянная и растущая угроза

Кампания ClearFake продолжает развиваться, используя передовые технологии на основе блокчейна, социальную инженерию и многоступенчатые цепочки заражения. Масштаб ее воздействия, с тысячами скомпрометированных сайтов и сотнями тысяч потенциальных жертв, подчеркивает настоятельную необходимость в надежных мерах кибербезопасности для защиты от таких сложных угроз вредоносного ПО.

 

В тренде

Варианты вредоносного ПО Sagerunex

Расширенная постоянная угроза (APT), Бэкдоры
Известный злоумышленник, известный как Lotus Panda, был замечен в кибератаках на правительственные, производственные, телекоммуникационные и медийные секторы на Филиппинах, во Вьетнаме, Гонконге и Тайване. Эти атаки включают обновленные версии бэкдора Sagerunex , вредоносного штамма, который Lotus Panda использует по крайней мере с 2016 года. Группа APT (Advanced Persistent Threat) продолжает...

Solvay - Мошенничество с электронными письмами о...

Фишинг, Спам
Цифровой ландшафт полон возможностей, но также и опасностей. Киберпреступники постоянно совершенствуют свою тактику, создавая сложные схемы, которые одинаково наживаются на предприятиях и частных лицах. Одной из таких мошеннических схем является мошенничество с электронными письмами «Solvay - New Business Relationships», фишинговая кампания, предназначенная для сбора конфиденциальной информации...

Наиболее просматриваемые

Загрузка...