ClearFake 攻擊活動

ClearFake 活動背後的網路威脅行為者一直在使用虛假的 reCAPTCHA 和 Cloudflare Turnstile 驗證來誘騙毫無戒心的用戶下載惡意軟體。這些欺騙技術被用來傳播竊取資訊的惡意軟體，例如Lumma Stealer和Vidar Stealer 。

虛假瀏覽器更新是惡意軟體陷阱

ClearFake 於 2023 年 7 月首次發現，是一種透過受感染的 WordPress 網站傳播的惡意活動，使用虛假的網路瀏覽器更新提示來誘騙受害者。這種方法一直是尋求有效部署惡意軟體的網路犯罪分子所青睞的技術。

利用 EtherHiding 實現隱身和持久性

ClearFake 感染鏈的關鍵方面是 EtherHiding，這是一種允許攻擊者使用幣安的智慧鏈 (BSC) 合約獲取下一階段有效負載的技術。這種方法利用分散的區塊鏈技術增強了攻擊的彈性，使檢測和刪除工作更具挑戰性。

ClickFix 的出現：一種社會工程策略

到 2024 年 5 月，ClearFake 已經採用了 ClickFix，這是一種社會工程手段，旨在以修復不存在的技術問題為藉口欺騙用戶執行惡意 PowerShell 程式碼。這種技術可以幫助攻擊者進一步控制受害者的系統。

ClearFake 最新版本中的進階 Web3 功能

ClearFake 活動的最新版本繼續採用 EtherHiding 和 ClickFix，但取得了顯著的進步。這些更新包括：

• 使用智慧合約應用程式二進位介面（ABI）與幣安智能鏈進行更好的互動。
• 增強受害者係統的指紋識別，載入多個 JavaScript 程式碼和資源。
• 加密的 ClickFix HTML 程式碼以逃避安全分析。

使用加密負載的多階段攻擊

一旦受害者造訪受感染的網站，攻擊就會分成幾個階段展開：

如果受害者繼續進行惡意行為，則會執行 Emmenhtal Loader（又稱 PEAKLIGHT），最終在系統上安裝 Lumma Stealer。

不斷演變的策略：大規模威脅

到 2025 年 1 月，安全研究人員觀察到新的 ClearFake 攻擊鏈利用 PowerShell 載入器安裝 Vidar Stealer。截至上個月，至少有 9,300 個網站遭到入侵。

攻擊者不斷更新 ClearFake 框架，每天修改其誘餌、腳本和有效載荷。該惡意軟體現在在幣安智能鏈中儲存了多個關鍵元素，包括：

• JavaScript 程式碼
• AES 加密金鑰
• 託管惡意誘餌檔案的 URL
• ClickFix PowerShell 指令

群體感染和廣泛暴露

ClearFake 感染規模龐大，影響全球大量用戶。 2024 年 7 月，約有 20 萬名獨立用戶可能受到 ClearFake 誘餌的攻擊，導致他們下載惡意軟體。

ClickFix 入侵汽車經銷商網站

ClickFix 的一個重要攻擊媒介是汽車經銷商網站。超過 100 家經銷商網站遭到入侵，SectopRAT 惡意軟體透過 ClickFix 誘餌傳播。

然而，經銷商自己的網站並沒有受到直接感染。相反，這次入侵是透過第三方視訊服務發生的，該服務在不知情的情況下託管了被入侵的 JavaScript 注入。此事件看似是供應鏈攻擊，凸顯了第三方服務漏洞帶來的風險。該惡意腳本已從受感染的網站中刪除。

最後的想法：一個持續且不斷擴大的威脅

ClearFake 活動不斷發展，利用先進的基於區塊鏈的技術、社會工程和多階段感染鏈。其影響規模龐大，有數千個網站受到感染，數十萬名潛在受害者，凸顯了我們迫切需要採取強有力的網路安全措施來防禦此類複雜的惡意軟體威脅。