Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Lừa đảo Chiến dịch tấn công ClearFake

Chiến dịch tấn công ClearFake

Đến năm Mezo năm Lừa đảo, Phần mềm độc hại, Công cụ quản lý từ xa
Dịch sang:
Tiếng Việt Nam

Những kẻ đe dọa mạng đứng sau chiến dịch ClearFake đã sử dụng reCAPTCHA giả và xác minh Cloudflare Turnstile để lừa người dùng không nghi ngờ tải xuống phần mềm độc hại. Những kỹ thuật lừa đảo này được sử dụng để phân phối phần mềm độc hại đánh cắp thông tin như Lumma StealerVidar Stealer .

Bản cập nhật trình duyệt giả mạo như một cái bẫy phần mềm độc hại

Lần đầu tiên được xác định vào tháng 7 năm 2023, ClearFake là một chiến dịch độc hại lây lan qua các trang web WordPress bị xâm nhập, sử dụng lời nhắc cập nhật trình duyệt web giả để dụ nạn nhân. Phương pháp này là một kỹ thuật được tội phạm mạng ưa chuộng để triển khai phần mềm độc hại một cách hiệu quả.

Tận dụng EtherHiding để tàng hình và bền bỉ

Một khía cạnh quan trọng của chuỗi lây nhiễm của ClearFake là EtherHiding, một kỹ thuật cho phép kẻ tấn công lấy tải trọng giai đoạn tiếp theo bằng hợp đồng Smart Chain (BSC) của Binance. Cách tiếp cận này tăng cường khả năng phục hồi của cuộc tấn công bằng cách tận dụng công nghệ blockchain phi tập trung, khiến nỗ lực phát hiện và gỡ bỏ trở nên khó khăn hơn.

Sự xuất hiện của ClickFix: Một thủ đoạn kỹ thuật xã hội

Đến tháng 5 năm 2024, ClearFake đã tích hợp ClickFix, một thủ thuật kỹ thuật xã hội được thiết kế để lừa người dùng thực thi mã PowerShell độc hại với lý do giả mạo là sửa một sự cố kỹ thuật không tồn tại. Kỹ thuật này giúp kẻ tấn công kiểm soát sâu hơn hệ thống của nạn nhân.

Khả năng Web3 nâng cao trong phiên bản mới nhất của ClearFake

Các phiên bản mới nhất của chiến dịch ClearFake tiếp tục sử dụng EtherHiding và ClickFix, nhưng với những tiến bộ đáng chú ý. Các bản cập nhật này bao gồm:

  • Tương tác nhiều hơn với Binance Smart Chain bằng cách sử dụng Giao diện nhị phân ứng dụng hợp đồng thông minh (ABI).
  • Tăng cường lấy dấu vân tay hệ thống của nạn nhân, tải nhiều mã JavaScript và tài nguyên.
  • Mã HTML ClickFix được mã hóa để tránh phân tích bảo mật.

Một cuộc tấn công nhiều giai đoạn với các tải trọng được mã hóa

Khi nạn nhân truy cập vào trang web bị xâm phạm, cuộc tấn công sẽ diễn ra theo nhiều giai đoạn:

  • Lấy JavaScript từ Binance Smart Chain để thu thập thông tin hệ thống.
  • Đang tải tập lệnh ClickFix được mã hóa từ Cloudflare Pages.
  • Thực hiện lệnh PowerShell độc hại, dẫn đến triển khai phần mềm độc hại.

Nếu nạn nhân tiếp tục thực hiện hành động gây hại, Emmenhtal Loader (hay còn gọi là PEAKLIGHT) sẽ được thực thi, cuối cùng sẽ cài đặt Lumma Stealer vào hệ thống.

Chiến thuật tiến hóa: Mối đe dọa quy mô lớn

Đến tháng 1 năm 2025, các nhà nghiên cứu bảo mật đã quan sát thấy chuỗi tấn công ClearFake mới sử dụng trình tải PowerShell để cài đặt Vidar Stealer. Tính đến tháng trước, ít nhất 9.300 trang web đã bị xâm phạm.

Những kẻ tấn công liên tục cập nhật khuôn khổ ClearFake, sửa đổi các mồi nhử, tập lệnh và tải trọng của nó hàng ngày. Phần mềm độc hại hiện lưu trữ nhiều thành phần chính trong Binance Smart Chain, bao gồm:

  • Mã JavaScript
  • Khóa mã hóa AES
  • URL lưu trữ các tệp tin mồi độc hại
  • Lệnh PowerShell của ClickFix

Nhiễm trùng hàng loạt và phơi nhiễm rộng rãi

Quy mô lây nhiễm ClearFake rất đáng kể, ảnh hưởng đến số lượng lớn người dùng trên toàn thế giới. Vào tháng 7 năm 2024, khoảng 200.000 người dùng duy nhất có khả năng bị ClearFake dụ dỗ tải xuống phần mềm độc hại.

ClickFix xâm phạm các trang web của đại lý ô tô

Một vectơ tấn công đáng kể đối với ClickFix là các trang web đại lý ô tô. Hơn 100 trang web đại lý đã bị xâm phạm, với phần mềm độc hại SectopRAT được phân phối thông qua các mồi nhử ClickFix.

Tuy nhiên, các trang web của các đại lý không bị nhiễm trực tiếp. Thay vào đó, sự xâm phạm xảy ra thông qua một dịch vụ video của bên thứ ba vô tình lưu trữ mã JavaScript bị xâm phạm. Sự cố này có vẻ là một cuộc tấn công chuỗi cung ứng, làm nổi bật những rủi ro do lỗ hổng trong các dịch vụ của bên thứ ba gây ra. Mã độc đã bị xóa khỏi trang web bị nhiễm.

Suy nghĩ cuối cùng: Một mối đe dọa dai dẳng và đang mở rộng

Chiến dịch ClearFake tiếp tục phát triển, tận dụng các kỹ thuật tiên tiến dựa trên blockchain, kỹ thuật xã hội và chuỗi lây nhiễm nhiều giai đoạn. Quy mô tác động của nó, với hàng nghìn trang web bị xâm phạm và hàng trăm nghìn nạn nhân tiềm năng, nhấn mạnh nhu cầu cấp thiết về các biện pháp an ninh mạng mạnh mẽ để chống lại các mối đe dọa phần mềm độc hại tinh vi như vậy.

 

xu hướng

Các biến thể phần mềm độc hại Sagerunex

Mối đe dọa dai dẳng nâng cao (APT), Cửa sau
Kẻ đe dọa khét tiếng được biết đến với cái tên Lotus Panda đã được phát hiện đang phát động các cuộc tấn công mạng vào các lĩnh vực chính phủ, sản xuất, viễn thông và truyền thông tại Philippines, Việt Nam, Hồng Kông và Đài Loan. Các cuộc tấn công này liên quan đến các phiên bản cập nhật của cửa hậu Sagerunex , một chủng phần mềm độc hại mà Lotus Panda đã tận dụng kể từ ít nhất năm 2016. Nhóm...

Solvay - Lừa đảo qua email về các mối quan hệ kinh...

Lừa đảo, Thư rác
Bối cảnh kỹ thuật số tràn ngập những cơ hội—nhưng cũng đầy rẫy những nguy hiểm. Tội phạm mạng liên tục phát triển các chiến thuật của mình, tạo ra những âm mưu tinh vi nhắm vào cả doanh nghiệp và cá nhân. Một trong những âm mưu lừa đảo như vậy là trò lừa đảo qua email 'Solvay - New Business Relationships', một chiến dịch lừa đảo được thiết kế để thu thập thông tin nhạy cảm và tài sản tài chính....

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
25,717
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...