De dreigingsacteurs achter de Duidelijke vage Campagne gebruiken nep Recaptcha of CloudFlare TurnSstile -verificaties als kunstaas om gebruikers te misleiden om malware te downloaden zoals Lumma Stealer en Vidar Stealer.
Clearfake, voor het eerst gemarkeerd in juli 2023, is de naam die wordt gegeven aan een dreigingsactiviteitcluster die nep -webbrowser -update -baits op gecompromitteerde WordPress gebruikt als een malwareverdelingsvector.
De campagne staat ook bekend om het vertrouwen op een andere techniek die bekend staat als Etherhiding om de volgende fase payload op te halen door de Smart Chain (BSC) -contracten van Binance te gebruiken als een manier om de aanvalsketen veerkrachtiger te maken. Het einddoel van deze infectieketens is het leveren van informatie-stelen malware die kan worden gericht op zowel Windows- als MacOS-systemen.
Vanaf mei 2024 hebben Clearfake-aanvallen overgenomen wat er nu bekend staat als ClickFix, een social engineering-truc waarbij gebruikers worden misleid om kwaadaardige PowerShell-code te runnen onder het mom van het aanpakken van een niet-bestaand technisch probleem.
“Hoewel deze nieuwe Clearfake -variant blijft vertrouwen op de etherhiding -techniek en de ClickFix -tactiek, heeft het extra interacties geïntroduceerd met de Binance Smart Chain,” zei Sekoia in een nieuwe analyse.
“Door het gebruik van de binaire interfaces van Smart Contract te gebruiken, omvatten deze interacties het laden van meerdere JavaScript -codes en extra bronnen die het systeem van het slachtoffer vingerafdrukken, evenals het downloaden, decoderen en weergeven van de clickfix -lokmiddel.”
De nieuwste iteratie van het Clearfake Framework markeert een belangrijke evolutie, waarbij Web3-mogelijkheden worden gebruikt om analyse te weerstaan en de ClickFix-gerelateerde HTML-code te coderen.
Het netto resultaat is een bijgewerkte multi-fase aanvalsreeks die is geïnitieerd wanneer een slachtoffer een gecompromitteerde site bezoekt, die vervolgens leidt tot het ophalen van een tussenliggende JavaScript-code van BSC. Het geladen JavaScript is vervolgens verantwoordelijk voor het vingerafdrukken van het systeem en het ophalen van de gecodeerde ClickFix -code die op CloudFlare -pagina’s wordt gehost.
Mocht het slachtoffer doorgaan en het kwaadaardige PowerShell -commando uitvoeren, leidt het tot de inzet van Emmenhtal Loader (AKA Peaklight) die vervolgens Lumma Stealer laat vallen.
Sekoia zei dat het eind januari 2025 een alternatieve Clearfake Attack -keten waargenomen die een PowerShell -lader diende die verantwoordelijk was voor de installatie van Vidar Stealer. Vanaf vorige maand zijn ten minste 9.300 websites besmet met Clearfake.
“De operator heeft consequent de frameworkcode, kunstaas en gedistribueerde ladingen op een dagelijkse basis bijgewerkt,” voegde het eraan toe. “De uitvoering van Clearfake is nu gebaseerd op meerdere stukken gegevens die zijn opgeslagen in de Binance Smart Chain, inclusief JavaScript -code, AES -toets, URL’s HOCTEEREN HTML -bestanden en ClickFix PowerShell -opdrachten.”
“Het aantal door Clearfake gecompromitteerde websites suggereert dat deze dreiging wijdverbreid blijft en veel gebruikers wereldwijd treft. In juli 2024 werden (…) ongeveer 200.000 unieke gebruikers mogelijk blootgesteld aan Clearfake Lures die hen aanmoedigen om malware te downloaden.”
De ontwikkeling komt omdat meer dan 100 automatische dealer -sites zijn ontdekt gecompromitteerd met clickfix -kunstaas die leiden tot de implementatie van sectoprat -malware.
“Waar deze infectie op de autodealers gebeurde, was niet op de eigen website van de dealer, maar een videoservice van derden”, zei beveiligingsonderzoeker Randy McEoin, die enkele van de vroegste Clearfake-campagnes in 2023 beschreef en het incident beschreef als een exemplaar van een aanval voor supply chain.
De videoservice in kwestie is LES Automotive (“IdoStream (.) Com”), die sindsdien de kwaadaardige JavaScript -injectie van de site heeft verwijderd.
De bevindingen vallen ook samen met de ontdekking van verschillende phishing -campagnes die zijn ontworpen om verschillende malwarefamilies te pushen en de oogst van referenties uit te voeren –
- Het gebruik van virtuele harde schijf (VHD) -bestanden ingebed in archiefbestandsbijlagen in e -mailberichten om Venom Rat te distribueren door middel van een Windows Batch -script
- Het gebruik van Microsoft Excel-bestandsbijlagen die een bekende beveiligingsfout (CVE-2017-0199) gebruiken om een HTML-applicatie (HTA) te downloaden die vervolgens Visual Basic Script (VBS) gebruikt om een afbeelding op te halen, die een andere lading bevat die verantwoordelijk is voor het decoderen en lanceren van asyncrat en remcos rat rat en ratten rat en ratten rat en ratten rat en ratten ratten ratten en lanceren
- Het benutten van misconfiguraties in Microsoft 365 -infrastructuur om de controle over huurders te nemen, nieuwe administratieve accounts te maken en phishing -inhoud te leveren die e -mailbeveiligingsbescherming omzeilt en uiteindelijk de oogst van de referenties en accountovername (ATO) vergemakkelijkt (ATO)
Naarmate sociale engineeringcampagnes geavanceerder worden, is het essentieel dat organisaties en bedrijven de curve voorblijven en robuuste authenticatie- en toegangscontrolemechanismen implementeren tegen tegenstander-in-the-middle (AITM) en browser-in-the-middle (BITM) (BITM) (BITM) -technieken die aanvallers toestaan om accounts te kappen.
“Een cruciaal voordeel van het gebruik van een BitM-framework ligt in zijn snelle targetingcapaciteit, waardoor het in een kwestie van seconden en met een minimale configuratie op internet kan worden bereikt,” zei Google-eigendom Mandiant in een rapport dat deze week is gepubliceerd.
“Zodra een applicatie is gericht via een BITM-tool of framework, wordt de legitieme site geserveerd via een door aanvallers gecontroleerde browser. Dit maakt het onderscheid tussen een legitieme en een nep-site die uitzonderlijk uitdagend is voor een slachtoffer. Vanuit het perspectief van een tegenstander zorgt BitM voor een eenvoudig maar effectieve middelen voor het stelen van sessies die worden beschermd door MFA.”
