Rabattoffert för flera licenser
Hotdatabas Nätfiske ClearFake Attack Campaign

ClearFake Attack Campaign

Med Mezo år Nätfiske, Skadlig programvara, Fjärradministrationsverktyg
Översätt till:
Svenska

Cyberhotsaktörerna bakom ClearFake-kampanjen har använt falska reCAPTCHA- och Cloudflare Turnstile-verifieringar för att lura intet ont anande användare att ladda ner skadlig programvara. Dessa vilseledande tekniker används för att distribuera skadlig programvara som stjäl information som Lumma Stealer och Vidar Stealer .

Falska webbläsaruppdateringar som en fälla för skadlig programvara

ClearFake, som först identifierades i juli 2023, är en skadlig kampanj som sprids genom komprometterade WordPress-webbplatser, med hjälp av falska webbläsaruppdateringsuppmaningar för att locka offer. Denna metod har varit en favoritteknik för cyberbrottslingar som vill distribuera skadlig programvara effektivt.

Utnyttja EtherHiding för smygande och uthållighet

En nyckelaspekt av ClearFakes infektionskedja är EtherHiding, en teknik som gör att angripare kan hämta nästa stegs nyttolast med Binances Smart Chain-kontrakt (BSC). Detta tillvägagångssätt förbättrar attackens motståndskraft genom att utnyttja decentraliserad blockkedjeteknik, vilket gör upptäckts- och nedtagningsinsatser mer utmanande.

The Emergence of ClickFix: A Social Engineering Ploy

I maj 2024 hade ClearFake införlivat ClickFix, ett socialt ingenjörsknep utformat för att lura användare att köra skadlig PowerShell-kod under den falska förevändningen att åtgärda ett icke-existerande tekniskt problem. Denna teknik hjälper angripare att få ytterligare kontroll över offrets system.

Avancerade Web3-funktioner i ClearFakes senaste variant

De senaste iterationerna av ClearFake-kampanjen fortsätter att använda EtherHiding och ClickFix, men med anmärkningsvärda framsteg. Dessa uppdateringar inkluderar:

  • Större interaktion med Binance Smart Chain, med hjälp av smart contract Application Binary Interfaces (ABI).
  • Förbättrad fingeravtryck av offrens system, laddar flera JavaScript-koder och resurser.
  • Krypterad ClickFix HTML-kod för att undvika säkerhetsanalys.

En attack i flera steg med krypterade nyttolaster

När ett offer väl besöker en utsatt webbplats utvecklas attacken i flera steg:

  • Hämtning av JavaScript från Binance Smart Chain för att samla in systeminformation.
  • Hämtar ett krypterat ClickFix-skript från Cloudflare Pages.
  • Utförande av ett skadligt PowerShell-kommando, vilket leder till distribution av skadlig programvara.

    • Om offret fortsätter med den skadliga handlingen, exekveras Emmenhtal Loader (alias PEAKLIGHT), som till slut installerar Lumma Stealer på systemet.

    Evolving Tactics: A Large-Scale Threat

    I januari 2025 observerade säkerhetsforskare nya ClearFake-attackkedjor som använder PowerShell-lastare för att installera Vidar Stealer. Från och med förra månaden har minst 9 300 webbplatser äventyrats.

    Angripare uppdaterar kontinuerligt ClearFake-ramverket och modifierar dess beten, skript och nyttolaster dagligen. Skadlig programvara lagrar nu flera nyckelelement inom Binance Smart Chain, inklusive:

    • JavaScript-kod
    • AES-krypteringsnycklar
    • URL:er som är värd för skadliga lockelsefiler
    • Klicka på Fixa PowerShell-kommandon

    Massinfektioner och utbredd exponering

    Omfattningen av ClearFake-infektioner är betydande och påverkar ett stort antal användare över hela världen. I juli 2024 exponerades cirka 200 000 unika användare potentiellt för ClearFake-beten som fick dem att ladda ner skadlig programvara.

    ClickFix äventyrar webbplatser för bilhandlare

    En betydande attackvektor för ClickFix har varit webbplatser för bilhandlare. Över 100 återförsäljarwebbplatser har äventyrats, med SectopRAT skadlig programvara som levererades via ClickFix lockar.

    Återförsäljarnas egna hemsidor var dock inte direkt infekterade. Istället skedde kompromissen genom en videotjänst från tredje part som omedvetet var värd för den komprometterade JavaScript-injektionen. Den här incidenten verkar vara en attack i leveranskedjan, som belyser riskerna med sårbarheter i tredjepartstjänster. Det skadliga skriptet har sedan tagits bort från den infekterade webbplatsen.

    Sista tankar: Ett ihållande och växande hot

    ClearFake-kampanjen fortsätter att utvecklas och utnyttjar avancerade blockkedjebaserade tekniker, social ingenjörskonst och infektionskedjor i flera steg. Omfattningen av dess inverkan, med tusentals utsatta webbplatser och hundratusentals potentiella offer, understryker det akuta behovet av robusta cybersäkerhetsåtgärder för att försvara sig mot sådana sofistikerade hot mot skadlig programvara.


    Trendigt

    Mest sedda

    Läser in...