Попуст за више лиценци
Тхреат Датабасе Пецање ЦлеарФаке Аттацк кампања

ЦлеарФаке Аттацк кампања

До Mezo. у Пецање, Малваре, Алати за удаљену администрацију
Преведи на:
Српски

Актери сајбер претњи који стоје иза ЦлеарФаке кампање користе лажне реЦАПТЦХА и Цлоудфларе Турнстиле верификације да преваре несуђене кориснике да преузму малвер. Ове обмањујуће технике се користе за дистрибуцију малвера за крађу информација, као што су Лумма Стеалер и Видар Стеалер .

Лажна ажурирања претраживача као замка за малвер

Први пут идентификован у јулу 2023. године, ЦлеарФаке је злонамерна кампања која се шири преко компромитованих ВордПресс сајтова, користећи лажне упите за ажурирање веб претраживача да би привукла жртве. Ова метода је била омиљена техника за сајбер криминалце који желе да ефикасно примене малвер.

Коришћење ЕтхерХидинг-а за прикривеност и упорност

Кључни аспект ЦлеарФаке-овог ланца инфекције је ЕтхерХидинг, техника која омогућава нападачима да преузму корисни терет следеће фазе користећи Бинанце Смарт Цхаин (БСЦ) уговоре. Овај приступ побољшава отпорност напада коришћењем децентрализоване технологије блокчејна, чинећи напоре откривања и уклањања изазовнијим.

Појава ЦлицкФик-а: Трика социјалног инжењеринга

До маја 2024. ЦлеарФаке је уградио ЦлицкФик, трик друштвеног инжењеринга осмишљен да обмане кориснике да изврше злонамерни ПоверСхелл код под лажним изговором да поправља непостојећи технички проблем. Ова техника помаже нападачима да стекну даљу контролу над системом жртве.

Напредне Веб3 могућности у најновијој варијанти ЦлеарФаке-а

Најновије итерације ЦлеарФаке кампање настављају да користе ЕтхерХидинг и ЦлицкФик, али са значајним напретком. Ова ажурирања укључују:

  • Већа интеракција са Бинанце Смарт Цхаин-ом, коришћењем бинарних интерфејса апликација паметног уговора (АБИ).
  • Побољшано узимање отисака прстију система жртава, учитавање више ЈаваСцрипт кодова и ресурса.
  • Шифровани ЦлицкФик ХТМЛ код за избегавање безбедносне анализе.

Вишестепени напад са шифрованим корисним оптерећењем

Када жртва посети компромитовану веб локацију, напад се одвија у неколико фаза:

  • Преузимање ЈаваСцрипт-а из Бинанце Смарт Цхаин-а ради прикупљања информација о систему.
  • Преузимање шифроване ЦлицкФик скрипте са Цлоудфларе Пагес.
  • Извршавање злонамерне ПоверСхелл команде, што доводи до примене злонамерног софтвера.

Ако жртва настави са злонамерном радњом, извршава се Емменхтал Лоадер (ака ПЕАКЛИГХТ), који на крају инсталира Лумма Стеалер на систем.

Тактике које се развијају: претња великих размера

До јануара 2025. истраживачи безбедности су приметили нове ЦлеарФаке ланце напада који користе ПоверСхелл учитаче за инсталирање Видар Стеалер-а. Од прошлог месеца, најмање 9.300 веб локација је компромитовано.

Нападачи континуирано ажурирају ЦлеарФаке оквир, свакодневно мењајући његове мамце, скрипте и терет. Злонамерни софтвер сада складишти више кључних елемената у Бинанце Смарт Цхаин-у, укључујући:

  • ЈаваСцрипт код
  • АЕС кључеви за шифровање
  • УРЛ адресе на којима се налазе злонамерне датотеке за мамце
  • ЦлицкФик ПоверСхелл команде

Масовне инфекције и широко распрострањена изложеност

Обим ЦлеарФаке инфекција је значајан и утиче на велики број корисника широм света. У јулу 2024., отприлике 200.000 јединствених корисника било је потенцијално изложено ЦлеарФаке мамцима што их је навело да преузму малвер.

ЦлицкФик компромитује веб локације аутосалона

Значајан вектор напада за ЦлицкФик биле су веб странице ауто дилера. Компромитовано је преко 100 продајних места, а СецтопРАТ малвер је испоручен преко ЦлицкФик мамаца.

Међутим, веб странице дилера нису директно заражене. Уместо тога, до компромиса је дошло преко видео услуге треће стране која је несвесно угостила компромитовану ЈаваСцрипт ињекцију. Чини се да је овај инцидент напад на ланац снабдевања, наглашавајући ризике које представљају рањивости у услугама трећих страна. Злонамерна скрипта је од тада уклоњена са заражене локације.

Завршне мисли: стална претња која се шири

ЦлеарФаке кампања наставља да се развија, користећи напредне технике засноване на блокчејну, друштвени инжењеринг и вишестепене ланце инфекције. Размере његовог утицаја, са хиљадама компромитованих локација и стотинама хиљада потенцијалних жртава, наглашавају хитну потребу за снажним мерама сајбер безбедности за одбрану од тако софистицираних претњи малвера.

 

У тренду

Сагерунек варијанте малвера

Напредна трајна претња (АПТ), Бацкдоорс
Злогласни актер претњи познат као Лотус Панда је примећен како покреће сајбер нападе на владине, производне, телекомуникацијске и медијске секторе на Филипинима, Вијетнаму, Хонг Конгу и Тајвану. Ови напади укључују ажуриране верзије Сагерунек бацкдоор-а, малвера који Лотус Панда користи од најмање 2016. Група АПТ (Адванцед Персистент Тхреат) наставља да усавршава своју тактику, користећи...

Солваи - Превара е-поште о новим пословним односима

Пецање, Спам
Дигитални пејзаж је пун могућности—али и опасности. Сајбер-криминалци стално развијају своје тактике, правећи софистициране шеме које харају предузећима и појединцима. Једна таква обмањујућа шема је превара е-поште „Солваи – нови пословни односи“, кампања „пецања“ која је осмишљена за прикупљање осетљивих информација и финансијске имовине. Разумевање начина на који ова тактика функционише и...

Најгледанији

Злонамерних програма

Пецање, Спам
25,717
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...