ClearFake Attack Campaign

ClearFake பிரச்சாரத்தின் பின்னணியில் உள்ள சைபர் அச்சுறுத்தல் நடிகர்கள், சந்தேகத்திற்கு இடமில்லாத பயனர்களை மால்வேரைப் பதிவிறக்கம் செய்ய ஏமாற்றுவதற்காக போலி reCAPTCHA மற்றும் Cloudflare டர்ன்ஸ்டைல் சரிபார்ப்புகளைப் பயன்படுத்தி வருகின்றனர். இந்த ஏமாற்று நுட்பங்கள் Lumma Stealer மற்றும் Vidar Stealer போன்ற தகவல் திருடும் மால்வேர்களை விநியோகிக்கப் பயன்படுத்தப்படுகின்றன.

மால்வேர் பொறியாக போலி உலாவி புதுப்பிப்புகள்

ஜூலை 2023 இல் முதன்முதலில் அடையாளம் காணப்பட்ட ClearFake என்பது ஒரு தீங்கிழைக்கும் பிரச்சாரமாகும், இது பாதிக்கப்பட்டவர்களை கவரும் வகையில் போலி வலை உலாவி புதுப்பிப்பு தூண்டுதல்களைப் பயன்படுத்தி, சமரசம் செய்யப்பட்ட WordPress தளங்கள் வழியாக பரவுகிறது. இந்த முறை தீம்பொருளை திறம்பட பயன்படுத்த விரும்பும் சைபர் குற்றவாளிகளுக்கு ஒரு விருப்பமான நுட்பமாகும்.

திருட்டுத்தனம் மற்றும் விடாமுயற்சிக்கு ஈதர்ஹைடிங்கைப் பயன்படுத்துதல்

ClearFake இன் தொற்று சங்கிலியின் முக்கிய அம்சம் EtherHiding ஆகும், இது தாக்குபவர்கள் Binance இன் ஸ்மார்ட் செயின் (BSC) ஒப்பந்தங்களைப் பயன்படுத்தி அடுத்த கட்ட பேலோடைப் பெற அனுமதிக்கும் ஒரு நுட்பமாகும். இந்த அணுகுமுறை பரவலாக்கப்பட்ட பிளாக்செயின் தொழில்நுட்பத்தைப் பயன்படுத்துவதன் மூலம் தாக்குதலின் மீள்தன்மையை மேம்படுத்துகிறது, கண்டறிதல் மற்றும் நீக்குதல் முயற்சிகளை மிகவும் சவாலானதாக ஆக்குகிறது.

கிளிக்ஃபிக்ஸின் தோற்றம்: ஒரு சமூக பொறியியல் தந்திரம்

மே 2024 க்குள், ClearFake, ClickFix ஐ இணைத்தது, இது இல்லாத தொழில்நுட்ப சிக்கலை சரிசெய்வதற்கான தவறான சாக்குப்போக்கின் கீழ் தீங்கிழைக்கும் PowerShell குறியீட்டை இயக்க பயனர்களை ஏமாற்ற வடிவமைக்கப்பட்ட ஒரு சமூக பொறியியல் தந்திரமாகும். இந்த நுட்பம் பாதிக்கப்பட்டவரின் அமைப்பின் மீது தாக்குபவர்கள் மேலும் கட்டுப்பாட்டைப் பெற உதவுகிறது.

ClearFake இன் சமீபத்திய மாறுபாட்டில் மேம்பட்ட Web3 திறன்கள்

ClearFake பிரச்சாரத்தின் சமீபத்திய மறு செய்கைகள் EtherHiding மற்றும் ClickFix ஐ தொடர்ந்து பயன்படுத்துகின்றன, ஆனால் குறிப்பிடத்தக்க முன்னேற்றங்களுடன். இந்த புதுப்பிப்புகளில் பின்வருவன அடங்கும்:

• ஸ்மார்ட் ஒப்பந்த பயன்பாட்டு பைனரி இடைமுகங்களை (ABIகள்) பயன்படுத்தி, பைனன்ஸ் ஸ்மார்ட் செயினுடன் சிறந்த தொடர்பு.
• பாதிக்கப்பட்டவர்களின் அமைப்புகளின் மேம்படுத்தப்பட்ட கைரேகை பதிவு, பல ஜாவாஸ்கிரிப்ட் குறியீடுகள் மற்றும் வளங்களை ஏற்றுதல்.
• பாதுகாப்பு பகுப்பாய்வைத் தவிர்க்க குறியாக்கம் செய்யப்பட்ட ClickFix HTML குறியீடு.

மறைகுறியாக்கப்பட்ட தரவுகளுடன் கூடிய பல-நிலை தாக்குதல்

பாதிக்கப்பட்டவர் ஒரு பாதிக்கப்பட்ட வலைத்தளத்தைப் பார்வையிட்டவுடன், தாக்குதல் பல கட்டங்களில் வெளிப்படுகிறது:

• கணினித் தகவல்களைச் சேகரிக்க பைனன்ஸ் ஸ்மார்ட் செயினிலிருந்து ஜாவாஸ்கிரிப்டை மீட்டெடுப்பது.

• Cloudflare பக்கங்களிலிருந்து மறைகுறியாக்கப்பட்ட ClickFix ஸ்கிரிப்டைப் பெறுதல்.

• தீங்கிழைக்கும் பவர்ஷெல் கட்டளையை செயல்படுத்துவது, தீம்பொருள் பயன்படுத்தலுக்கு வழிவகுக்கிறது.

பாதிக்கப்பட்டவர் தீங்கிழைக்கும் செயலைத் தொடர்ந்தால், எம்மென்டல் லோடர் (aka PEAKLIGHT) செயல்படுத்தப்படுகிறது, இது இறுதியில் கணினியில் லம்மா ஸ்டீலரை நிறுவுகிறது.

பரிணாம உத்திகள்: ஒரு பெரிய அளவிலான அச்சுறுத்தல்

ஜனவரி 2025 வாக்கில், பவர்ஷெல் லோடர்களைப் பயன்படுத்தி விதார் ஸ்டீலரை நிறுவ புதிய கிளியர்ஃபேக் தாக்குதல் சங்கிலிகளைப் பாதுகாப்பு ஆராய்ச்சியாளர்கள் கவனித்தனர். கடந்த மாத நிலவரப்படி, குறைந்தது 9,300 வலைத்தளங்கள் திருடப்பட்டுள்ளன.

தாக்குபவர்கள் தொடர்ந்து ClearFake கட்டமைப்பைப் புதுப்பித்து, அதன் கவர்ச்சிகள், ஸ்கிரிப்டுகள் மற்றும் பேலோடுகளை தினமும் மாற்றியமைக்கின்றனர். தீம்பொருள் இப்போது Binance Smart Chain க்குள் பல முக்கிய கூறுகளைச் சேமிக்கிறது, அவற்றுள்:

• ஜாவாஸ்கிரிப்ட் குறியீடு
• AES குறியாக்க விசைகள்
• தீங்கிழைக்கும் லுர் கோப்புகளை வழங்கும் URLகள்
• பவர்ஷெல் கட்டளைகளை சரிசெய் என்பதைக் கிளிக் செய்யவும்.

பெருமளவிலான தொற்றுகள் மற்றும் பரவலான வெளிப்பாடு

ClearFake தொற்றுகளின் அளவு குறிப்பிடத்தக்கது, இது உலகளவில் ஏராளமான பயனர்களைப் பாதிக்கிறது. ஜூலை 2024 இல், தோராயமாக 200,000 தனிப்பட்ட பயனர்கள் மால்வேரைப் பதிவிறக்கத் தூண்டும் ClearFake கவர்ச்சிகளுக்கு ஆளாக நேரிடும்.

கிளிக்ஃபிக்ஸ் ஆட்டோ டீலர்ஷிப் வலைத்தளங்களை சமரசம் செய்கிறது

ClickFix-க்கான குறிப்பிடத்தக்க தாக்குதல் திசையன் ஆட்டோ டீலர்ஷிப் வலைத்தளங்கள் ஆகும். 100க்கும் மேற்பட்ட டீலர்ஷிப் தளங்கள் சமரசம் செய்யப்பட்டன, SectopRAT தீம்பொருள் ClickFix கவர்ச்சிகள் வழியாக வழங்கப்பட்டது.

இருப்பினும், டீலர்ஷிப்களின் சொந்த வலைத்தளங்கள் நேரடியாக பாதிக்கப்படவில்லை. மாறாக, சமரசம் செய்யப்பட்ட ஜாவாஸ்கிரிப்ட் ஊசியை அறியாமலேயே ஹோஸ்ட் செய்த மூன்றாம் தரப்பு வீடியோ சேவை மூலம் ஏற்பட்டது. இந்த சம்பவம் ஒரு விநியோகச் சங்கிலித் தாக்குதலாகத் தோன்றுகிறது, இது மூன்றாம் தரப்பு சேவைகளில் உள்ள பாதிப்புகளால் ஏற்படும் அபாயங்களை எடுத்துக்காட்டுகிறது. பின்னர் தீங்கிழைக்கும் ஸ்கிரிப்ட் பாதிக்கப்பட்ட தளத்திலிருந்து அகற்றப்பட்டது.

இறுதி எண்ணங்கள்: ஒரு தொடர்ச்சியான மற்றும் விரிவடையும் அச்சுறுத்தல்

மேம்பட்ட பிளாக்செயின் அடிப்படையிலான நுட்பங்கள், சமூக பொறியியல் மற்றும் பல-நிலை தொற்று சங்கிலிகளைப் பயன்படுத்தி, கிளியர்ஃபேக் பிரச்சாரம் தொடர்ந்து வளர்ச்சியடைந்து வருகிறது. ஆயிரக்கணக்கான சமரசம் செய்யப்பட்ட தளங்கள் மற்றும் லட்சக்கணக்கான சாத்தியமான பாதிக்கப்பட்டவர்களுடன் அதன் தாக்கத்தின் அளவு, இத்தகைய அதிநவீன தீம்பொருள் அச்சுறுத்தல்களுக்கு எதிராக பாதுகாக்க வலுவான சைபர் பாதுகாப்பு நடவடிக்கைகளின் அவசரத் தேவையை அடிக்கோடிட்டுக் காட்டுகிறது.