Aktor ancaman di belakang Clearfake Kampanye menggunakan Verifikasi Recaptcha atau Cloudflare Turnstile palsu sebagai umpan untuk menipu pengguna agar mengunduh malware seperti Lumma Stealer dan Vidar Stealer.
Clearfake, pertama kali disorot pada bulan Juli 2023, adalah nama yang diberikan kepada kluster aktivitas ancaman yang menggunakan umpan pembaruan browser web palsu pada WordPress yang dikompromikan sebagai vektor distribusi malware.
Kampanye ini juga dikenal karena mengandalkan teknik lain yang dikenal sebagai etherhiding untuk mengambil muatan tahap berikutnya dengan menggunakan kontrak Binance's Smart Chain (BSC) sebagai cara untuk membuat rantai serangan lebih tangguh. Tujuan akhir dari rantai infeksi ini adalah untuk memberikan malware mencuri informasi yang mampu menargetkan sistem Windows dan MacOS.
Pada Mei 2024, serangan ClearFake telah mengadopsi apa yang sekarang kemudian dikenal sebagai ClickFix, sebuah taktik rekayasa sosial yang melibatkan penipuan pengguna untuk menjalankan kode PowerShell berbahaya dengan kedok mengatasi masalah teknis yang tidak ada.
“Meskipun varian ClearFake baru ini terus bergantung pada teknik Etherhiding dan Tactic ClickFix, ia telah memperkenalkan interaksi tambahan dengan rantai pintar Binance,” kata Sekoia dalam analisis baru.
“Dengan menggunakan antarmuka biner aplikasi Smart Contract, interaksi ini melibatkan memuat beberapa kode JavaScript dan sumber daya tambahan yang sidik jari sistem korban, serta mengunduh, mendekripsi, dan menampilkan lure clickfix.”
Iterasi terbaru dari kerangka kerja ClearFake menandai evolusi yang signifikan, mengadopsi kemampuan Web3 untuk menolak analisis dan enkripsi kode HTML terkait ClickFix.
Hasil bersihnya adalah urutan serangan multi-tahap yang diperbarui yang dimulai ketika seorang korban mengunjungi situs yang dikompromikan, yang kemudian mengarah pada pengambilan kode JavaScript menengah dari BSC. JavaScript yang dimuat kemudian bertanggung jawab untuk sidik jari sistem dan mengambil kode clickFix yang dienkripsi yang di -host di halaman cloudflare.
Jika korban menindaklanjuti dan melaksanakan perintah PowerShell jahat, itu mengarah pada penyebaran Emmenhtal Loader (alias puncak) yang kemudian menjatuhkan Lumma Stealer.
Sekoia mengatakan mereka mengamati rantai serangan Clearfake alternatif pada akhir Januari 2025 yang melayani PowerShell Loader yang bertanggung jawab untuk memasang Vidar Stealer. Sampai bulan lalu, setidaknya 9.300 situs web telah terinfeksi ClearFake.
“Operator telah secara konsisten memperbarui kode kerangka kerja, umpan, dan muatan yang didistribusikan setiap hari,” tambahnya. “Eksekusi ClearFake sekarang mengandalkan beberapa bagian data yang disimpan dalam rantai pintar Binance, termasuk kode JavaScript, kunci AES, URL hosting file html lure, dan perintah clickfix PowerShell.”
“Jumlah situs web yang dikompromikan oleh ClearFake menunjukkan bahwa ancaman ini tetap tersebar luas dan mempengaruhi banyak pengguna di seluruh dunia. Pada bulan Juli 2024, […] Sekitar 200.000 pengguna unik berpotensi terpapar umpan ClearFake yang mendorong mereka untuk mengunduh malware. “
Pengembangan datang karena lebih dari 100 situs dealer mobil telah ditemukan dikompromikan dengan umpan clickfix yang mengarah pada penyebaran malware sektoprat.
“Di mana infeksi pada dealer mobil ini terjadi bukan di situs web dealer sendiri, tetapi layanan video pihak ketiga,” kata peneliti keamanan Randy McEoin, yang merinci beberapa kampanye ClearFake paling awal pada tahun 2023, menggambarkan insiden itu sebagai contoh serangan rantai pasokan.
Layanan video yang dimaksud adalah Les Automotive (“IdoStream[.]com “), yang sejak itu telah menghapus suntikan JavaScript berbahaya dari situs.
Temuan ini juga bertepatan dengan penemuan beberapa kampanye phishing yang direkayasa untuk mendorong berbagai keluarga malware dan melakukan pemanenan kredensial –
- Menggunakan file hard disk virtual (VHD) yang tertanam dalam lampiran file arsip dalam pesan email untuk mendistribusikan racun tikus melalui skrip batch windows
- Menggunakan lampiran file Microsoft Excel yang mengeksploitasi cacat keamanan yang diketahui (CVE-2017-0199) untuk mengunduh aplikasi HTML (HTA) yang kemudian menggunakan Visual Basic Script (VBS) untuk mengambil gambar, yang berisi muatan lain yang bertanggung jawab untuk decoding dan meluncurkan Asyncrat dan REMCOS RAT RAT RAT RAT RAT RAT
- Mengeksploitasi kesalahan konfigurasi dalam infrastruktur Microsoft 365 untuk mengendalikan penyewa, membuat akun administratif baru, dan memberikan konten phishing yang melewati perlindungan keamanan email dan pada akhirnya memfasilitasi pemanenan kredensial dan pengambilalihan akun (ATO)
Ketika kampanye rekayasa sosial terus menjadi lebih canggih, penting bagi organisasi dan bisnis tetap di depan kurva dan menerapkan otentikasi yang kuat dan mekanisme kontrol-pengendalian terhadap teknik musuh di tengah-tengah (AITM) dan browser-in-the-middle (BITM) yang memungkinkan penyerang untuk membajak akun.
“Manfaat penting dari menggunakan kerangka kerja BITM terletak pada kemampuan penargetan yang cepat, memungkinkannya untuk mencapai situs web apa pun di web dalam hitungan detik dan dengan konfigurasi minimal,” kata Google-Onceed Mandiant dalam sebuah laporan yang diterbitkan minggu ini.
“Setelah aplikasi ditargetkan melalui alat bitm atau kerangka kerja, situs yang sah dilayani melalui browser yang dikendalikan oleh penyerang. Ini membuat perbedaan antara situs yang sah dan palsu yang sangat menantang bagi korban. Dari perspektif musuh, Bitm memungkinkan sarana yang sederhana namun efektif untuk mencuri sesi yang dilindungi oleh MFA.
