Multi-License Discount Quote
Banta sa Database Phishing ClearFake Attack Campaign

ClearFake Attack Campaign

Sa pamamagitan ng Mezo sa Phishing, Malware, Remote Administration Tools
Isalin To:
Wikang Filipino

Gumagamit ang mga aktor ng cyber threat sa likod ng ClearFake campaign ng mga pekeng reCAPTCHA at Cloudflare Turnstile na pag-verify para linlangin ang mga hindi mapag-aalinlanganang user sa pag-download ng malware. Ang mga mapanlinlang na pamamaraan na ito ay ginagamit upang ipamahagi ang malware sa pagnanakaw ng impormasyon gaya ng Lumma Stealer at Vidar Stealer .

Mga Pekeng Update sa Browser bilang isang Malware Trap

Unang natukoy noong Hulyo 2023, ang ClearFake ay isang nakakahamak na kampanya na kumakalat sa pamamagitan ng mga nakompromisong WordPress site, gamit ang mga pekeng pag-update ng web browser na prompt para akitin ang mga biktima. Ang pamamaraang ito ay naging isang pinapaboran na pamamaraan para sa mga cybercriminal na naghahanap ng mahusay na pag-deploy ng malware.

Paggamit ng EtherHiding para sa Stealth at Persistence

Ang isang pangunahing aspeto ng chain ng impeksyon ng ClearFake ay ang EtherHiding, isang pamamaraan na nagpapahintulot sa mga umaatake na kunin ang susunod na yugto ng payload gamit ang mga kontrata ng Smart Chain (BSC) ng Binance. Pinahuhusay ng diskarteng ito ang katatagan ng pag-atake sa pamamagitan ng paggamit ng desentralisadong teknolohiya ng blockchain, na ginagawang mas mahirap ang mga pagsisikap sa pag-detect at pagtanggal.

Ang Pag-usbong ng ClickFix: Isang Social Engineering Ploy

Noong Mayo 2024, isinama ng ClearFake ang ClickFix, isang social engineering trick na idinisenyo upang linlangin ang mga user na magsagawa ng malisyosong PowerShell code sa ilalim ng maling pagkukunwari ng pag-aayos ng hindi umiiral na teknikal na isyu. Ang pamamaraan na ito ay tumutulong sa mga umaatake na magkaroon ng karagdagang kontrol sa sistema ng biktima.

Advanced na Mga Kakayahang Web3 sa Pinakabagong Variant ng ClearFake

Ang pinakabagong mga pag-ulit ng ClearFake na kampanya ay patuloy na gumagamit ng EtherHiding at ClickFix, ngunit may mga kapansin-pansing pagsulong. Kasama sa mga update na ito ang:

  • Mas malawak na pakikipag-ugnayan sa Binance Smart Chain, gamit ang smart contract Application Binary Interfaces (ABIs).
  • Pinahusay na fingerprinting ng mga system ng mga biktima, naglo-load ng maraming JavaScript code at mapagkukunan.
  • Naka-encrypt na ClickFix HTML code upang maiwasan ang pagsusuri sa seguridad.

Isang Multi-Stage Attack na may Mga Naka-encrypt na Payload

Sa sandaling bumisita ang biktima sa isang nakompromisong website, ang pag-atake ay magbubukas sa ilang yugto:

  • Pagbawi ng JavaScript mula sa Binance Smart Chain upang mangalap ng impormasyon ng system.
  • Pagkuha ng naka-encrypt na ClickFix script mula sa Cloudflare Pages.
  • Pagpapatupad ng malisyosong PowerShell command, na humahantong sa pag-deploy ng malware.

    • Kung magpapatuloy ang biktima sa malisyosong aksyon, ang Emmenhtal Loader (aka PEAKLIGHT) ay isasagawa, na sa huli ay nag-i-install ng Lumma Stealer sa system.

    Mga Nagbabagong Taktika: Isang Malaking Banta

    Pagsapit ng Enero 2025, napansin ng mga mananaliksik sa seguridad ang mga bagong ClearFake attack chain na gumagamit ng mga PowerShell loader para i-install ang Vidar Stealer. Noong nakaraang buwan, hindi bababa sa 9,300 mga website ang nakompromiso.

    Patuloy na ina-update ng mga attacker ang ClearFake framework, binabago ang mga pang-akit, script, at payload nito araw-araw. Nag-iimbak na ngayon ang malware ng maraming mahahalagang elemento sa loob ng Binance Smart Chain, kabilang ang:

    • JavaScript code
    • AES encryption key
    • Mga URL na nagho-host ng mga nakakahamak na file ng pang-akit
    • ClickFix PowerShell command

    Mass Infections at Laganap na Exposure

    Ang laki ng mga impeksyon sa ClearFake ay makabuluhan, na nakakaapekto sa isang malaking bilang ng mga gumagamit sa buong mundo. Noong Hulyo 2024, humigit-kumulang 200,000 natatanging user ang posibleng nalantad sa mga pang-akit ng ClearFake na nag-udyok sa kanila na mag-download ng malware.

    Kinokompromiso ng ClickFix ang Mga Website ng Auto Dealership

    Ang isang makabuluhang vector ng pag-atake para sa ClickFix ay ang mga website ng auto dealership. Mahigit sa 100 dealership site ang nakompromiso, kasama ang SectopRAT malware na inihahatid sa pamamagitan ng ClickFix lures.

    Gayunpaman, ang mga sariling website ng mga dealership ay hindi direktang nahawahan. Sa halip, naganap ang kompromiso sa pamamagitan ng isang third-party na serbisyo ng video na hindi sinasadyang nagho-host ng nakompromisong JavaScript injection. Ang insidenteng ito ay lumilitaw na isang pag-atake sa supply chain, na nagha-highlight sa mga panganib na dulot ng mga kahinaan sa mga serbisyo ng third-party. Ang malisyosong script ay inalis na mula sa nahawaang site.

    Mga Pangwakas na Kaisipan: Isang Patuloy at Lumalawak na Banta

    Ang ClearFake campaign ay patuloy na umuunlad, na gumagamit ng mga advanced na blockchain-based na diskarte, social engineering, at multi-stage na mga chain ng impeksyon. Ang laki ng epekto nito, na may libu-libong nakompromisong mga site at daan-daang libong potensyal na biktima, ay binibigyang-diin ang agarang pangangailangan para sa matatag na mga hakbang sa cybersecurity upang ipagtanggol laban sa mga sopistikadong banta ng malware.


    Trending

    Pinaka Nanood

    Naglo-load...