Popust za več licenc
Podjetje o grožnjah Lažno predstavljanje Kampanja ClearFake Attack

Kampanja ClearFake Attack

Do leta Mezo leta Lažno predstavljanje, Zlonamerna programska oprema, Orodja za oddaljeno upravljanje
Prevedi v:
Slovenščina

Akterji kibernetskih groženj, ki stojijo za kampanjo ClearFake, so uporabljali lažna preverjanja reCAPTCHA in Cloudflare Turnstile, da bi nič hudega sluteče uporabnike pretentali v prenos zlonamerne programske opreme. Te goljufive tehnike se uporabljajo za distribucijo zlonamerne programske opreme za krajo informacij, kot sta Lumma Stealer in Vidar Stealer .

Lažne posodobitve brskalnika kot past zlonamerne programske opreme

ClearFake, ki je bil prvič identificiran julija 2023, je zlonamerna kampanja, ki se širi prek ogroženih spletnih mest WordPress z uporabo lažnih pozivov za posodobitev spletnega brskalnika, da privabi žrtve. Ta metoda je bila priljubljena tehnika za kibernetske kriminalce, ki želijo učinkovito namestiti zlonamerno programsko opremo.

Izkoriščanje EtherHiding za prikritost in vztrajnost

Ključni vidik verige okužb ClearFake je EtherHiding, tehnika, ki napadalcem omogoča pridobivanje koristnega tovora naslednje stopnje z uporabo pogodb Binance Smart Chain (BSC). Ta pristop povečuje odpornost napada z izkoriščanjem decentralizirane tehnologije veriženja blokov, zaradi česar so prizadevanja za odkrivanje in odstranjevanje zahtevnejša.

Pojav ClickFixa: zvijača družbenega inženiringa

Do maja 2024 je ClearFake vključil ClickFix, trik socialnega inženiringa, namenjen zavajanju uporabnikov v izvajanje zlonamerne kode PowerShell pod lažno pretvezo, da odpravljajo neobstoječo tehnično težavo. Ta tehnika pomaga napadalcem pridobiti nadaljnji nadzor nad žrtvinim sistemom.

Napredne zmogljivosti Web3 v najnovejši različici ClearFake

Najnovejše ponovitve kampanje ClearFake še naprej uporabljajo EtherHiding in ClickFix, vendar z opaznim napredkom. Te posodobitve vključujejo:

  • Večja interakcija z Binance Smart Chain z uporabo pametnih pogodbenih aplikacijskih binarnih vmesnikov (ABI).
  • Izboljšan prstni odtis sistemov žrtev, nalaganje več kod JavaScript in virov.
  • Šifrirana koda HTML ClickFix za izogibanje varnostni analizi.

Večstopenjski napad s šifriranimi uporabnimi obremenitvami

Ko žrtev obišče ogroženo spletno stran, se napad odvija v več fazah:

  • Pridobivanje JavaScripta iz Binance Smart Chain za zbiranje informacij o sistemu.
  • Pridobivanje šifriranega skripta ClickFix s strani Cloudflare.
  • Izvajanje zlonamernega ukaza lupine PowerShell, ki vodi do uvedbe zlonamerne programske opreme.

Če žrtev nadaljuje z zlonamernim dejanjem, se izvede Emmenhtal Loader (alias PEAKLIGHT), ki na koncu namesti Lumma Stealer v sistem.

Razvijajoče se taktike: grožnja velikega obsega

Do januarja 2025 so varnostni raziskovalci opazili nove verige napadov ClearFake, ki uporabljajo nalagalnike PowerShell za namestitev Vidar Stealerja. Od prejšnjega meseca je bilo ogroženih najmanj 9300 spletnih mest.

Napadalci nenehno posodabljajo ogrodje ClearFake in dnevno spreminjajo njegove vabe, skripte in obremenitve. Zlonamerna programska oprema zdaj shranjuje več ključnih elementov znotraj Binance Smart Chain, vključno z:

  • JavaScript koda
  • AES šifrirni ključi
  • URL-ji, ki gostijo zlonamerne vabne datoteke
  • Kliknite Popravi ukaze PowerShell

Množične okužbe in razširjena izpostavljenost

Obseg okužb s programom ClearFake je velik in prizadene veliko število uporabnikov po vsem svetu. Julija 2024 je bilo približno 200.000 edinstvenih uporabnikov potencialno izpostavljenih vabam ClearFake, ki so jih spodbudile k prenosu zlonamerne programske opreme.

ClickFix ogroža spletna mesta avtomobilskih zastopnikov

Pomemben vektor napada za ClickFix so bila spletna mesta prodajalcev avtomobilov. Ogroženih je bilo več kot 100 prodajnih mest, zlonamerna programska oprema SectopRAT pa je bila dostavljena prek vab ClickFix.

Vendar lastna spletna mesta zastopnikov niso bila neposredno okužena. Namesto tega je do ogrožanja prišlo prek video storitve tretje osebe, ki je nevede gostila ogroženo vbrizgavanje JavaScripta. Zdi se, da je ta incident napad na dobavno verigo, kar poudarja tveganja, ki jih predstavljajo ranljivosti v storitvah tretjih oseb. Zlonamerni skript je bil medtem odstranjen z okuženega mesta.

Končne misli: Vztrajna in vedno večja grožnja

Kampanja ClearFake se še naprej razvija in izkorišča napredne tehnike, ki temeljijo na verigi blokov, socialni inženiring in večstopenjske verige okužb. Obseg njegovega vpliva, s tisoči ogroženih spletnih mest in stotisoči potencialnih žrtev, poudarja nujno potrebo po robustnih ukrepih kibernetske varnosti za obrambo pred tako sofisticiranimi grožnjami zlonamerne programske opreme.

 

V trendu

Različice zlonamerne programske opreme Sagerunex

Napredna trajna grožnja (APT), Zadnja vrata
Razvpiti akter grožnje, znan kot Lotus Panda, je bil opažen pri kibernetskih napadih na vladne, proizvodne, telekomunikacijske in medijske sektorje na Filipinih, v Vietnamu, Hong Kongu in Tajvanu. Ti napadi vključujejo posodobljene različice stranskih vrat Sagerunex , različice zlonamerne programske opreme, ki jo Lotus Panda uporablja vsaj od leta 2016. Skupina APT (Advanced Persistent Threat)...

Solvay - Nova poslovna e-poštna prevara

Lažno predstavljanje, Neželena pošta
Digitalna pokrajina je polna priložnosti, a tudi nevarnosti. Kibernetski kriminalci nenehno razvijajo svoje taktike in oblikujejo prefinjene sheme, ki plenijo tako podjetja kot posameznike. Ena takšnih goljufivih shem je e-poštna prevara 'Solvay - New Business Relationships', kampanja lažnega predstavljanja, namenjena zbiranju občutljivih informacij in finančnih sredstev. Razumevanje delovanja...

Najbolj gledan

Nalaganje...