Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Fishing ClearFake Attack Campaign

ClearFake Attack Campaign

Nga MezoFishing, Malware, Mjetet e administrimit në distancë
Përkthe në:
Shqip

Aktorët e kërcënimeve kibernetike pas fushatës ClearFake kanë përdorur verifikime të rreme reCAPTCHA dhe Cloudflare Turnstile për të mashtruar përdoruesit që nuk dyshojnë për të shkarkuar malware. Këto teknika mashtruese përdoren për të shpërndarë malware për vjedhjen e informacionit si Lumma Stealer dhe Vidar Stealer .

Përditësimet e rreme të shfletuesit si një kurth malware

I identifikuar për herë të parë në korrik 2023, ClearFake është një fushatë keqdashëse që përhapet nëpër faqet e komprometuara të WordPress, duke përdorur kërkesat e rreme të përditësimit të shfletuesit të internetit për të joshur viktimat. Kjo metodë ka qenë një teknikë e favorizuar për kriminelët kibernetikë që kërkojnë të përdorin malware në mënyrë efikase.

Përdorimi i EtherHiding për vjedhje dhe këmbëngulje

Një aspekt kyç i zinxhirit të infeksionit të ClearFake është EtherHiding, një teknikë që lejon sulmuesit të marrin ngarkesën e fazës tjetër duke përdorur kontratat e Zinxhirit Smart të Binance (BSC). Kjo qasje rrit elasticitetin e sulmit duke shfrytëzuar teknologjinë e decentralizuar të blockchain, duke i bërë përpjekjet e zbulimit dhe heqjes më sfiduese.

Shfaqja e ClickFix: Një dredhi e inxhinierisë sociale

Deri në maj të vitit 2024, ClearFake kishte inkorporuar ClickFix, një truk inxhinierik social i krijuar për të mashtruar përdoruesit për të ekzekutuar kodin keqdashës të PowerShell nën pretendimin e rremë të rregullimit të një problemi teknik joekzistent. Kjo teknikë i ndihmon sulmuesit të fitojnë kontroll të mëtejshëm mbi sistemin e viktimës.

Aftësi të avancuara të Web3 në variantin më të fundit të ClearFake

Përsëritjet e fundit të fushatës ClearFake vazhdojnë të përdorin EtherHiding dhe ClickFix, por me përparime të dukshme. Këto përditësime përfshijnë:

  • Ndërveprim më i madh me Binance Smart Chain, duke përdorur ndërfaqet binare të aplikacionit të kontratës inteligjente (ABI).
  • Përmirësimi i gjurmëve të gishtave të sistemeve të viktimave, duke ngarkuar kode dhe burime të shumta JavaScript.
  • Kodi HTML i koduar ClickFix për të shmangur analizën e sigurisë.

Një sulm me shumë faza me ngarkesa të koduara

Pasi një viktimë viziton një faqe interneti të komprometuar, sulmi shpaloset në disa faza:

  • Rikthimi i JavaScript nga Binance Smart Chain për të mbledhur informacione të sistemit.
  • Marrja e një skripti të koduar ClickFix nga Faqet e Cloudflare.
  • Ekzekutimi i një komande keqdashëse PowerShell, që çon në vendosjen e malware.

Nëse viktima vazhdon me veprimin keqdashës, ekzekutohet Emmenhtal Loader (aka PEAKLIGHT), i cili përfundimisht instalon Lumma Stealer në sistem.

Taktikat në zhvillim: Një kërcënim në shkallë të gjerë

Deri në janar 2025, studiuesit e sigurisë vëzhguan zinxhirë të rinj sulmi ClearFake duke përdorur ngarkues PowerShell për të instaluar Vidar Stealer. Që nga muaji i kaluar, të paktën 9,300 faqe interneti janë komprometuar.

Sulmuesit përditësojnë vazhdimisht kornizën ClearFake, duke modifikuar joshjet, skriptet dhe ngarkesat e tij çdo ditë. Malware tani ruan shumë elementë kyç brenda Binance Smart Chain, duke përfshirë:

  • Kodi JavaScript
  • Çelësat e enkriptimit AES
  • URL-të që presin skedarë joshëse me qëllim të keq
  • Komandat ClickFix PowerShell

Infeksionet masive dhe ekspozimi i përhapur

Shkalla e infeksioneve ClearFake është e rëndësishme, duke prekur një numër të madh përdoruesish në mbarë botën. Në korrik 2024, rreth 200,000 përdorues unikë u ekspozuan potencialisht ndaj joshjeve të ClearFake që i shtynë ata të shkarkonin malware.

KlikoFix komprometon faqet e internetit të shitjeve automatike

Një vektor i rëndësishëm sulmi për ClickFix kanë qenë faqet e internetit të shitjeve të automjeteve. Mbi 100 sajte shitjesh u komprometuan, me malware SectopRAT që shpërndahej përmes joshjeve ClickFix.

Megjithatë, faqet e internetit të vetë tregtarëve nuk u infektuan drejtpërdrejt. Në vend të kësaj, kompromisi ndodhi përmes një shërbimi video të palëve të treta që priti pa vetëdije injeksionin e komprometuar të JavaScript. Ky incident duket të jetë një sulm i zinxhirit të furnizimit, duke nënvizuar rreziqet e paraqitura nga dobësitë në shërbimet e palëve të treta. Skripti me qëllim të keq është hequr që atëherë nga faqja e infektuar.

Mendimet përfundimtare: Një kërcënim i vazhdueshëm dhe në zgjerim

Fushata ClearFake vazhdon të evoluojë, duke shfrytëzuar teknikat e avancuara të bazuara në blockchain, inxhinierinë sociale dhe zinxhirët e infeksionit me shumë faza. Shkalla e ndikimit të saj, me mijëra sajte të komprometuara dhe qindra mijëra viktima të mundshme, nënvizon nevojën urgjente për masa të fuqishme të sigurisë kibernetike për t'u mbrojtur kundër kërcënimeve të tilla të sofistikuara të malware.

 

Në trend

Variantet e malware Sagerunex

Kërcënimi i avancuar i vazhdueshëm (APT), Dyer të pasme
Aktori famëkeq i kërcënimit i njohur si Lotus Panda është vërejtur duke nisur sulme kibernetike ndaj qeverisë, prodhimit, telekomunikacionit dhe sektorëve të medias në Filipine, Vietnam, Hong Kong dhe Tajvan. Këto sulme përfshijnë versione të përditësuara të derës së pasme të Sagerunex , një lloj malware që Lotus Panda e ka përdorur që të paktën nga viti 2016. Grupi APT (Kërcënimi i Përparuar i...

Solvay - Mashtrim me email për marrëdhënie të reja...

Fishing, Spam
Peizazhi dixhital është i mbushur me mundësi, por edhe me rreziqe. Kriminelët kibernetikë evoluojnë vazhdimisht taktikat e tyre, duke krijuar skema të sofistikuara që prekin bizneset dhe individët njësoj. Një skemë e tillë mashtruese është mashtrimi me email 'Solvay - Marrëdhëniet e reja të biznesit', një fushatë phishing e krijuar për të mbledhur informacione të ndjeshme dhe asete financiare....

Më e shikuara

Po ngarkohet...