In augustus ontdekte cybersecurity-onderzoeker Randy McEoin een nieuw type malware, vermomd als een software-update. Hij noemde het ‘ClearFake’. ClearFake misleidt gebruikers door gekaapte WordPress-sites te exploiteren, waardoor ze valse browserupdates downloaden die vervolgens hun systemen met malware infecteren. Aanvankelijk concentreerde ClearFake zich op Windows-systemen en zette een campagne in met een nep-Chrome-update. Recente bevindingen van beveiligingsonderzoeker Ankit Anubhav laten een verschuiving in tactiek zien, waarbij ClearFake zich nu richt op Mac-gebruikers via een nagemaakte Safari-update, die iOS-malware levert.
ClearFake heeft twee primaire methoden gebruikt om payloads naar de systemen van slachtoffers te leveren. Aanvankelijk werden gecompromitteerde websites omgeleid naar een Cloudflare-werkhost, waardoor de injectie van kwaadaardig JavaScript mogelijk werd. Beveiligingsexperts hebben deze aanpak ontdekt en gemakkelijk ontmanteld omdat deze werd gehost op Cloudflare. Vervolgens heeft de groep een nieuwe strategie aangenomen, waarbij gebruik wordt gemaakt van de beveiligingsvoordelen van de blockchain, met name de Binance Smart Chain (BSC) JS-bibliotheek.
Het downloaden van een payload in de derde fase wordt geïnitieerd door kwaadaardige scripts van de blockchain op te halen. Door gebruik te maken van het gedecentraliseerde karakter van de blockchain zijn aanvallers beter in staat om takedowns te omzeilen. De payload is niet anders: het presenteert gebruikers valse browserupdate-overlays die leiden tot het installeren van een kwaadaardig uitvoerbaar bestand.
ClearFake gebruikt sjablonen die vrijwel identiek legitieme Safari- en Chrome-updates nabootsen
Hackers verdoezelen code om hun kwaadaardige bedoelingen te verbergen en detectie door beveiligingsmaatregelen te omzeilen. Door code om te zetten in een complexe, ingewikkelde structuur vertragen ze de analyse en maken ze het voor beveiligingstools een uitdaging om hun activiteiten te identificeren en te interpreteren. Oorspronkelijk vernoemd naar zijn niet-versluierde JavaScript, is ClearFake ironisch genoeg uitgegroeid tot een formidabele uitdaging om te detecteren vanwege de op blockchain gebaseerde injectiemethode.
Volgens een rapport van Malwarebytes verspreidt de recente Mac-campagne van ClearFake een aparte malwarevariant, Atomic Stealer. Atomic Stealer biedt cybercriminelen een uitgebreide toolkit, waarmee ze accountwachtwoorden, browsergegevens, sessiecookies en crypto-wallets kunnen stelen. De malware-auteur wordt verspreid via een speciaal Telegram-kanaal en biedt toegang tot het webpaneel en een op schijfimages gebaseerd installatieprogramma voor $ 1000 per maand.
De payload van ClearFake, vermomd als installatieprogramma’s voor legitieme applicaties, doet zich voor als Safari- of Chrome-updates. Bij het downloaden van Atomic Stealer bootst de malware een andere Safari-update na, waarbij gebruikers om een beheerderswachtwoord worden gevraagd voor het uitvoeren van opdrachten.
Social engineering-aanvallen vermommen malware vaak als software-updates of applicatie-installatieprogramma’s. Nogmaals, ClearFake gebruikt Safari- en Chrome-sjablonen die vrijwel identiek zijn aan de sjablonen die door Mac en Google worden gebruikt. Mac-gebruikers moeten alert zijn op deze nieuwe social engineering-aanval, waarbij wordt geprobeerd gevoelige informatie te stelen.
