Кампанія ClearFake Attack
Актори кіберзагроз, що стоять за кампанією ClearFake, використовували підроблені верифікації reCAPTCHA та Cloudflare Turnstile, щоб обманом змусити нічого не підозрюючих користувачів завантажити шкідливе програмне забезпечення. Ці оманливі методи використовуються для розповсюдження зловмисного програмного забезпечення для крадіжки інформації, наприклад Lumma Stealer і Vidar Stealer .
Зміст
Фальшиві оновлення браузера як пастка для зловмисного програмного забезпечення
ClearFake, вперше ідентифікований у липні 2023 року, є зловмисною кампанією, яка поширюється через скомпрометовані сайти WordPress, використовуючи підроблені підказки щодо оновлення веб-браузера, щоб заманити жертв. Цей метод є улюбленою технікою для кіберзлочинців, які прагнуть ефективно розгорнути зловмисне програмне забезпечення.
Використання EtherHiding для скритності та наполегливості
Ключовим аспектом ланцюга зараження ClearFake є EtherHiding, техніка, яка дозволяє зловмисникам отримувати корисне навантаження наступного етапу за допомогою контрактів Binance Smart Chain (BSC). Цей підхід підвищує стійкість до атак, використовуючи децентралізовану технологію блокчейну, що ускладнює виявлення та ліквідацію.
Поява ClickFix: хитрість соціальної інженерії
До травня 2024 року ClearFake включив ClickFix, трюк соціальної інженерії, призначений для того, щоб змусити користувачів запустити шкідливий код PowerShell під фальшивим приводом для вирішення неіснуючої технічної проблеми. Ця техніка допомагає зловмисникам отримати подальший контроль над системою жертви.
Розширені можливості Web3 в останньому варіанті ClearFake
Останні ітерації кампанії ClearFake продовжують використовувати EtherHiding і ClickFix, але з помітними досягненнями. Ці оновлення включають:
- Покращена взаємодія з Binance Smart Chain за допомогою бінарних інтерфейсів додатків смарт-контрактів (ABI).
- Покращено сканування відбитків систем жертв, завантаження кількох кодів JavaScript і ресурсів.
- Зашифрований HTML-код ClickFix для уникнення аналізу безпеки.
Багатоетапна атака із зашифрованими корисними навантаженнями
Коли жертва відвідує скомпрометований веб-сайт, атака розгортається в кілька етапів:
- Отримання JavaScript із Binance Smart Chain для збору системної інформації.
- Отримання зашифрованого сценарію ClickFix із сторінок Cloudflare.
- Виконання зловмисної команди PowerShell, що призводить до розгортання зловмисного програмного забезпечення.
Якщо жертва продовжує зловмисну дію, запускається Emmenhtal Loader (він же PEAKLIGHT), який зрештою встановлює Lumma Stealer у систему.
Еволюція тактики: широкомасштабна загроза
До січня 2025 року дослідники безпеки помітили нові ланцюги атак ClearFake, які використовували завантажувачі PowerShell для встановлення Vidar Stealer. Станом на минулий місяць щонайменше 9300 веб-сайтів були зламані.
Зловмисники постійно оновлюють фреймворк ClearFake, щодня змінюючи його приманки, сценарії та корисне навантаження. Зловмисне програмне забезпечення тепер зберігає кілька ключових елементів у Binance Smart Chain, зокрема:
- код JavaScript
- Ключі шифрування AES
- URL-адреси, на яких розміщені шкідливі файли-приманки
- Натисніть Виправити команди PowerShell
Масові інфекції та широке зараження
Масштаби зараження ClearFake є значними, вони вражають величезну кількість користувачів у всьому світі. У липні 2024 року приблизно 200 000 унікальних користувачів потенційно піддалися впливу ClearFake, що спонукало їх завантажувати зловмисне програмне забезпечення.
ClickFix компрометує веб-сайти автосалонів
Значним вектором атаки ClickFix були веб-сайти автосалонів. Понад 100 дилерських сайтів було зламано, а шкідливе програмне забезпечення SectopRAT доставлялося через приманки ClickFix.
Однак власні веб-сайти дилерів не були заражені безпосередньо. Натомість компрометація сталася через сторонню відеослужбу, яка несвідомо розмістила скомпрометовану ін’єкцію JavaScript. Схоже, що цей інцидент є атакою на ланцюг поставок, що підкреслює ризики, пов’язані з уразливістю сторонніх служб. Шкідливий сценарій було видалено із зараженого сайту.
Останні думки: постійна загроза, що поширюється
Кампанія ClearFake продовжує розвиватися, використовуючи передові технології на основі блокчейну, соціальну інженерію та багатоступінчасті ланцюжки зараження. Масштаб його впливу, з тисячами скомпрометованих сайтів і сотнями тисяч потенційних жертв, підкреслює нагальну потребу в надійних заходах кібербезпеки для захисту від таких складних загроз зловмисного програмного забезпечення.
