แคมเปญโจมตี ClearFake
ผู้ก่ออาชญากรรมไซเบอร์ที่อยู่เบื้องหลังแคมเปญ ClearFake ได้ใช้การตรวจสอบ reCAPTCHA และ Cloudflare Turnstile ปลอมเพื่อหลอกล่อผู้ใช้ที่ไม่สงสัยให้ดาวน์โหลดมัลแวร์ เทคนิคการหลอกลวงเหล่านี้ใช้เพื่อเผยแพร่มัลแวร์ขโมยข้อมูล เช่น Lumma Stealer และ Vidar Stealer
สารบัญ
การอัปเดตเบราว์เซอร์ปลอมเป็นกับดักมัลแวร์
ClearFake ถูกระบุตัวตนครั้งแรกในเดือนกรกฎาคม 2023 โดยเป็นแคมเปญอันตรายที่แพร่กระจายผ่านเว็บไซต์ WordPress ที่ถูกบุกรุก โดยใช้การแจ้งเตือนการอัปเดตเบราว์เซอร์ปลอมเพื่อล่อเหยื่อ วิธีการนี้เป็นเทคนิคที่ผู้ก่ออาชญากรรมทางไซเบอร์นิยมใช้กันเพื่อติดตั้งมัลแวร์อย่างมีประสิทธิภาพ
การใช้ประโยชน์จาก EtherHiding เพื่อการซ่อนตัวและการคงอยู่
ลักษณะสำคัญของห่วงโซ่การติดเชื้อของ ClearFake คือ EtherHiding ซึ่งเป็นเทคนิคที่ช่วยให้ผู้โจมตีสามารถดึงเพย์โหลดขั้นถัดไปโดยใช้สัญญา Smart Chain (BSC) ของ Binance แนวทางนี้ช่วยเพิ่มความสามารถในการรับมือการโจมตีโดยใช้ประโยชน์จากเทคโนโลยีบล็อคเชนแบบกระจายอำนาจ ทำให้การตรวจจับและการลบข้อมูลมีความท้าทายมากขึ้น
การเกิดขึ้นของ ClickFix: กลอุบายทางวิศวกรรมสังคม
ภายในเดือนพฤษภาคม 2024 ClearFake ได้นำ ClickFix มาใช้ ซึ่งเป็นกลวิธีทางวิศวกรรมสังคมที่ออกแบบมาเพื่อหลอกล่อผู้ใช้ให้เรียกใช้โค้ด PowerShell ที่เป็นอันตรายภายใต้ข้ออ้างอันเป็นเท็จว่ากำลังแก้ไขปัญหาทางเทคนิคที่ไม่มีอยู่จริง เทคนิคนี้ช่วยให้ผู้โจมตีสามารถควบคุมระบบของเหยื่อได้มากขึ้น
ความสามารถขั้นสูงของ Web3 ในรุ่นล่าสุดของ ClearFake
แคมเปญ ClearFake เวอร์ชันล่าสุดยังคงใช้ EtherHiding และ ClickFix ต่อไป แต่มีการพัฒนาที่เห็นได้ชัด การอัปเดตเหล่านี้ได้แก่:
- การโต้ตอบที่มากขึ้นกับ Binance Smart Chain โดยใช้สัญญาอัจฉริยะ Application Binary Interfaces (ABI)
- การปรับปรุงการพิมพ์ลายนิ้วมือของระบบของเหยื่อ การโหลดโค้ด JavaScript และทรัพยากรหลายรายการ
- เข้ารหัสโค้ด HTML ของ ClickFix เพื่อหลีกเลี่ยงการวิเคราะห์ด้านความปลอดภัย
การโจมตีหลายขั้นตอนด้วยเพย์โหลดที่เข้ารหัส
เมื่อเหยื่อเข้าชมเว็บไซต์ที่ถูกบุกรุก การโจมตีจะเกิดขึ้นในหลายขั้นตอน:
หากเหยื่อดำเนินการด้วยการกระทำอันเป็นอันตราย Emmenhtal Loader (หรือเรียกอีกอย่างว่า PEAKLIGHT) จะถูกดำเนินการ ซึ่งในท้ายที่สุดจะติดตั้ง Lumma Stealer ลงในระบบ
กลยุทธ์ที่พัฒนาขึ้น: ภัยคุกคามในระดับใหญ่
ภายในเดือนมกราคม 2025 นักวิจัยด้านความปลอดภัยได้สังเกตเห็นการโจมตีแบบ ClearFake ใหม่โดยใช้โปรแกรมโหลด PowerShell เพื่อติดตั้ง Vidar Stealer จนถึงเดือนที่แล้ว มีเว็บไซต์อย่างน้อย 9,300 แห่งที่ถูกบุกรุก
ผู้โจมตีอัปเดตเฟรมเวิร์ก ClearFake อย่างต่อเนื่อง โดยแก้ไขตัวล่อ สคริปต์ และเพย์โหลดทุกวัน ปัจจุบันมัลแวร์จัดเก็บองค์ประกอบสำคัญหลายรายการไว้ใน Binance Smart Chain ซึ่งรวมถึง:
- โค้ดจาวาสคริปต์
- คีย์การเข้ารหัส AES
- URL โฮสต์ไฟล์ล่อลวงที่เป็นอันตราย
- คำสั่ง ClickFix PowerShell
การติดเชื้อจำนวนมากและการสัมผัสเชื้ออย่างแพร่หลาย
การติดเชื้อ ClearFake มีขนาดใหญ่และส่งผลกระทบต่อผู้ใช้จำนวนมากทั่วโลก ในเดือนกรกฎาคม 2024 ผู้ใช้ประมาณ 200,000 รายอาจได้รับผลกระทบจากโปรแกรมหลอกลวง ClearFake ที่กระตุ้นให้พวกเขาดาวน์โหลดมัลแวร์
ClickFix สร้างความเดือดร้อนให้กับเว็บไซต์ของตัวแทนจำหน่ายรถยนต์
ช่องทางการโจมตีที่สำคัญสำหรับ ClickFix คือเว็บไซต์ของตัวแทนจำหน่ายรถยนต์ เว็บไซต์ตัวแทนจำหน่ายรถยนต์กว่า 100 แห่งถูกบุกรุก โดยมีมัลแวร์ SectopRAT ที่แพร่กระจายผ่านเหยื่อล่อ ClickFix
อย่างไรก็ตาม เว็บไซต์ของตัวแทนจำหน่ายไม่ได้ถูกโจมตีโดยตรง แต่การโจมตีเกิดขึ้นผ่านบริการวิดีโอของบุคคลที่สามซึ่งโฮสต์การแทรก JavaScript ที่ถูกโจมตีโดยไม่รู้ตัว เหตุการณ์นี้ดูเหมือนจะเป็นการโจมตีห่วงโซ่อุปทาน ซึ่งเน้นย้ำถึงความเสี่ยงที่เกิดจากช่องโหว่ในบริการของบุคคลที่สาม สคริปต์ที่เป็นอันตรายดังกล่าวได้ถูกลบออกจากเว็บไซต์ที่ติดเชื้อแล้ว
ความคิดสุดท้าย: ภัยคุกคามที่คงอยู่และขยายตัว
แคมเปญ ClearFake ยังคงพัฒนาต่อไปโดยใช้ประโยชน์จากเทคนิคขั้นสูงที่ใช้เทคโนโลยีบล็อคเชน วิศวกรรมทางสังคม และห่วงโซ่การติดเชื้อหลายขั้นตอน ขอบเขตของผลกระทบซึ่งมีไซต์ที่ถูกบุกรุกหลายพันไซต์และเหยื่อที่อาจตกเป็นเหยื่อหลายแสนราย เน้นย้ำถึงความจำเป็นเร่งด่วนในการใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่งเพื่อป้องกันภัยคุกคามจากมัลแวร์ที่ซับซ้อนดังกล่าว
