ClearFake 攻击活动

ClearFake 活动背后的网络威胁行为者一直在使用虚假的 reCAPTCHA 和 Cloudflare Turnstile 验证来诱骗毫无戒心的用户下载恶意软件。这些欺骗性技术被用来传播信息窃取恶意软件，例如Lumma Stealer和Vidar Stealer 。

虚假浏览器更新是恶意软件陷阱

ClearFake 于 2023 年 7 月首次被发现，是一种通过受感染的 WordPress 网站传播的恶意活动，使用虚假的网络浏览器更新提示来引诱受害者。这种方法一直是寻求有效部署恶意软件的网络犯罪分子青睐的技术。

利用 EtherHiding 实现隐身和持久性

ClearFake 感染链的一个关键方面是 EtherHiding，这是一种允许攻击者使用币安智能链 (BSC) 合约获取下一阶段有效载荷的技术。这种方法通过利用去中心化的区块链技术增强了攻击的弹性，使检测和删除工作更具挑战性。

ClickFix 的出现：一种社会工程学策略

到 2024 年 5 月，ClearFake 已整合了 ClickFix，这是一种社会工程技巧，旨在以修复不存在的技术问题为借口欺骗用户执行恶意 PowerShell 代码。这种技术可帮助攻击者进一步控制受害者的系统。

ClearFake 最新版本中的高级 Web3 功能

ClearFake 攻击活动的最新版本继续使用 EtherHiding 和 ClickFix，但有了显著的改进。这些更新包括：

• 使用智能合约应用程序二进制接口（ABI）与币安智能链进行更好的交互。
• 增强受害者系统的指纹识别，加载多个 JavaScript 代码和资源。
• 加密的 ClickFix HTML 代码以逃避安全分析。

使用加密负载的多阶段攻击

一旦受害者访问受感染的网站，攻击就会分几个阶段展开：

如果受害者继续进行恶意行为，则会执行 Emmenhtal Loader（又名 PEAKLIGHT），最终在系统上安装 Lumma Stealer。

不断演变的策略：大规模威胁

到 2025 年 1 月，安全研究人员观察到新的 ClearFake 攻击链利用 PowerShell 加载程序安装 Vidar Stealer。截至上个月，至少有 9,300 个网站遭到入侵。

攻击者不断更新 ClearFake 框架，每天修改其诱饵、脚本和有效载荷。该恶意软件现在在币安智能链中存储了多个关键元素，包括：

• JavaScript 代码
• AES 加密密钥
• 托管恶意诱饵文件的 URL
• ClickFix PowerShell 命令

群体感染和广泛暴露

ClearFake 感染规模巨大，影响到全球大量用户。2024 年 7 月，约有 20 万名独立用户可能受到 ClearFake 诱饵的攻击，导致他们下载恶意软件。

ClickFix 入侵汽车经销商网站

ClickFix 的主要攻击媒介是汽车经销商网站。超过 100 个经销商网站受到攻击，SectopRAT 恶意软件通过 ClickFix 诱饵传播。

然而，经销商自己的网站并没有直接受到感染。相反，入侵是通过第三方视频服务进行的，该服务在不知情的情况下托管了受感染的 JavaScript 注入。此事件似乎是供应链攻击，凸显了第三方服务漏洞带来的风险。恶意脚本现已从受感染的网站上删除。

最后的想法：一个持续且不断扩大的威胁

ClearFake 活动不断发展，利用先进的区块链技术、社会工程学和多阶段感染链。其影响范围广泛，有数千个网站被入侵，数十万潜在受害者，这凸显了我们迫切需要采取强有力的网络安全措施来抵御这种复杂的恶意软件威胁。