Multilicenčná zľavová ponuka
Databáza hrozieb Phishing Kampaň ClearFake Attack

Kampaň ClearFake Attack

Do roku Mezo v roku Phishing, Malvér, Nástroje vzdialenej správy
Preložiť do:
Slovenčina

Aktéri kybernetických hrozieb, ktorí stoja za kampaňou ClearFake, používajú falošné overenia reCAPTCHA a Cloudflare Turnstile, aby prinútili nič netušiacich používateľov, aby si stiahli malvér. Tieto klamlivé techniky sa používajú na distribúciu škodlivého softvéru, ktorý kradne informácie, ako sú Lumma Stealer a Vidar Stealer .

Falošné aktualizácie prehliadača ako pasca škodlivého softvéru

ClearFake, ktorý bol prvýkrát identifikovaný v júli 2023, je škodlivá kampaň, ktorá sa šíri prostredníctvom napadnutých stránok WordPress pomocou falošných výziev na aktualizáciu webového prehliadača, aby nalákala obete. Táto metóda je obľúbenou technikou pre kyberzločincov, ktorí chcú efektívne nasadiť malvér.

Využitie EtherHiding pre utajenie a vytrvalosť

Kľúčovým aspektom infekčného reťazca ClearFake je EtherHiding, technika, ktorá umožňuje útočníkom získať ďalšiu fázu užitočného zaťaženia pomocou zmlúv Binance Smart Chain (BSC). Tento prístup zvyšuje odolnosť útoku využívaním decentralizovanej technológie blockchain, čo sťažuje snahy o detekciu a odstránenie.

Vznik ClickFix: Trik sociálneho inžinierstva

Do mája 2024 spoločnosť ClearFake začlenila ClickFix, trik sociálneho inžinierstva určený na oklamanie používateľov, aby spustili škodlivý kód PowerShell pod falošnou zámienkou opravy neexistujúceho technického problému. Táto technika pomáha útočníkom získať ďalšiu kontrolu nad systémom obete.

Pokročilé možnosti Web3 v najnovšom variante ClearFake

Najnovšie iterácie kampane ClearFake naďalej využívajú EtherHiding a ClickFix, no s výraznými pokrokmi. Tieto aktualizácie zahŕňajú:

  • Väčšia interakcia s Binance Smart Chain pomocou inteligentných kontraktových aplikačných binárnych rozhraní (ABI).
  • Vylepšené snímanie odtlačkov prstov systémov obetí, načítanie viacerých kódov JavaScript a zdrojov.
  • Šifrovaný kód ClickFix HTML, aby ste sa vyhli bezpečnostnej analýze.

Viacstupňový útok so šifrovaným nákladom

Keď obeť navštívi napadnutú webovú stránku, útok sa rozvinie v niekoľkých fázach:

  • Získavanie JavaScriptu z Binance Smart Chain na zhromažďovanie systémových informácií.
  • Načítavanie zašifrovaného skriptu ClickFix zo stránok Cloudflare.
  • Vykonanie škodlivého príkazu PowerShell, ktorý vedie k nasadeniu škodlivého softvéru.

Ak obeť pokračuje v zákernej akcii, spustí sa Emmenhtal Loader (aka PEAKLIGHT), ktorý nakoniec nainštaluje Lumma Stealer do systému.

Vyvíjajúca sa taktika: hrozba veľkého rozsahu

Do januára 2025 výskumníci v oblasti bezpečnosti spozorovali nové reťazce útokov ClearFake využívajúce nakladače PowerShell na inštaláciu Vidar Stealer. Od minulého mesiaca bolo napadnutých najmenej 9 300 webových stránok.

Útočníci neustále aktualizujú rámec ClearFake a denne upravujú jeho návnady, skripty a užitočné zaťaženie. Malvér teraz ukladá viacero kľúčových prvkov v rámci Binance Smart Chain, vrátane:

  • JavaScript kód
  • AES šifrovacie kľúče
  • Adresy URL hosťujúce súbory so škodlivými návnadami
  • Kliknite na položku Opraviť príkazy PowerShell

Hromadné infekcie a rozšírená expozícia

Rozsah infekcií ClearFake je významný a postihuje veľké množstvo používateľov na celom svete. V júli 2024 bolo približne 200 000 jedinečných používateľov potenciálne vystavených lákadlám ClearFake, ktoré ich podnietili stiahnuť si malvér.

ClickFix ohrozuje webové stránky predajcov automobilov

Významným vektorom útoku pre ClickFix boli webové stránky predajcov automobilov. Bolo napadnutých viac ako 100 obchodných zastúpení, pričom malvér SectopRAT bol doručený prostredníctvom návnad ClickFix.

Vlastné webové stránky predajcov však neboli priamo infikované. Namiesto toho došlo ku kompromisu prostredníctvom video služby tretej strany, ktorá nevedomky hostila napadnutú injekciu JavaScriptu. Zdá sa, že tento incident je útokom na dodávateľský reťazec, ktorý poukazuje na riziká, ktoré predstavujú slabé miesta v službách tretích strán. Škodlivý skript bol odvtedy z infikovanej stránky odstránený.

Záverečné myšlienky: Trvalá a rozširujúca sa hrozba

Kampaň ClearFake sa naďalej vyvíja a využíva pokročilé techniky založené na blockchaine, sociálne inžinierstvo a viacstupňové infekčné reťazce. Rozsah jeho vplyvu s tisíckami napadnutých stránok a stovkami tisíc potenciálnych obetí podčiarkuje naliehavú potrebu robustných opatrení v oblasti kybernetickej bezpečnosti na obranu proti takýmto sofistikovaným malvérovým hrozbám.

 

Trendy

Varianty malvéru Sagerunex

Pokročilá perzistentná hrozba (APT), Zadné vrátka
Notoricky známy aktér hrozby známy ako Lotus Panda bol pozorovaný pri kybernetických útokoch na vládny, výrobný, telekomunikačný a mediálny sektor na Filipínach, Vietname, Hongkongu a Taiwane. Tieto útoky zahŕňajú aktualizované verzie backdoor Sagerunex , malvérový kmeň, ktorý Lotus Panda využíva minimálne od roku 2016. Skupina APT (Advanced Persistent Threat) pokračuje v zdokonaľovaní svojej...

Solvay - E-mailový podvod s novými obchodnými vzťahmi

Phishing, Spam
Digitálna krajina je plná príležitostí, ale aj nebezpečenstiev. Kyberzločinci neustále vyvíjajú svoje taktiky a vytvárajú sofistikované schémy, ktoré sú obeťou podnikov aj jednotlivcov. Jednou z takýchto podvodných schém je e-mailový podvod „Solvay – New Business Relationships“, phishingová kampaň určená na zhromažďovanie citlivých informácií a finančných aktív. Pochopenie toho, ako táto...

Najviac videné

Načítava...