Arkasındaki tehdit aktörleri Recirfake Kampanya, kullanıcıları lumma stealer ve vidar stealer gibi kötü amaçlı yazılımları indirmek için kandırmak için sahte Recaptcha veya Cloudflare turnikesi doğrulamaları kullanıyor.
İlk olarak Temmuz 2023’te vurgulanan ClearFake, istihdam eden bir tehdit faaliyet kümesine verilen isimdir. Sahte web tarayıcısı güncelleme yemleri Kötü amaçlı yazılım dağıtım vektörü olarak tehlikeye atılan WordPress’te.
Kampanya, Binance’ın Akıllı Zinciri (BSC) sözleşmelerini saldırı zincirini daha esnek hale getirmenin bir yolu olarak kullanarak bir sonraki aşamalı yükü almak için Etherhiding olarak bilinen başka bir tekniğe güvenmekle de biliniyor. Bu enfeksiyon zincirlerinin nihai amacı, hem Windows hem de MacOS sistemlerini hedefleyebilen bilgi çalma kötü amaçlı yazılım sunmaktır.
Mayıs 2024 itibariyle, ClearFake saldırıları şimdiye kadar ClickFix olarak bilinen şeyleri benimsedi, Sosyal Mühendislik Ploy Bu, kullanıcıları var olmayan bir teknik sorunu ele alma kisvesi altında kötü niyetli PowerShell kodu çalıştırmaya aldatmayı içerir.
Sekoia, “Bu yeni ClearFake varyantı eterhiding tekniğine ve ClickFix taktiğine güvenmeye devam etmesine rağmen, Binance akıllı zincirle ek etkileşimler getirdi.” söz konusu yeni bir analizde.
“Smart Squelt’in uygulama ikili arayüzlerini kullanarak, bu etkileşimler, kurbanın sistemini parmak izini parmak izlemenin yanı sıra ClickFix cazibesini indirmeyi, şifresini çözmeyi ve görüntüleyen birden fazla JavaScript kodu ve ek kaynakların yüklenmesini içerir.”
ClearFake Framework’ün en son yinelemesi, analize direnmek ve ClickFix ile ilgili HTML kodunu şifrelemek için Web3 özelliklerini benimseyerek önemli bir evrimi işaret eder.
Net sonuç, bir kurbanın tehlikeye atılmış bir siteyi ziyaret ettiğinde başlatılan güncellenmiş çok aşamalı saldırı dizisidir ve bu da BSC’den bir ara JavaScript kodunun alınmasına yol açar. Yüklü JavaScript daha sonra sistemi parmak izlemekten ve CloudFlare sayfalarında barındırılan şifreli ClickFix kodunu almaktan sorumludur.
Kurban kötü niyetli PowerShell komutunu takip eder ve yürütürse, daha sonra Lumma Stealer’ı düşüren Emmenhtal yükleyici (aka peaklight) dağıtımına yol açar.
Sekoia, Ocak 2025’in sonlarında Vidar Stealer’ın yüklenmesinden sorumlu bir PowerShell yükleyicisine hizmet veren alternatif bir ClearFake saldırı zinciri gözlemlediğini söyledi. Geçen ay itibariyle, en az 9.300 web sitesine ClearFake ile enfekte olmuştur.
“Operatör, çerçeve kodunu, lures ve dağıtılmış yükleri günlük olarak sürekli olarak güncelledi.” “ClearFake Yürütme artık JavaScript kodu, AES tuşu, lure html dosyalarını barındıran URL’ler ve ClickFix PowerShell komutları dahil olmak üzere Binance akıllı zincirinde depolanan birden fazla veri parçasına dayanıyor.”
“ClearFake tarafından tehlikeye atılan web sitelerinin sayısı, bu tehdidin yaygın kaldığını ve dünya çapında birçok kullanıcıyı etkilediğini gösteriyor. Temmuz 2024’te, […] Yaklaşık 200.000 benzersiz kullanıcı potansiyel olarak, kötü amaçlı yazılım indirmeye teşvik eden ClearFake Lures’a maruz kaldı. “
Geliştirme, 100’den fazla otomatik bayilik sitesinin tehlikeye atıldığı keşfedildi ClickFix Lures Bu, Sectoprat kötü amaçlı yazılımların dağıtımına yol açar.
Diyerek şöyle devam etti: “Otomobil bayilerindeki bu enfeksiyonun gerçekleştiği yerde bayinin kendi web sitesinde değil, üçüncü taraf bir video hizmeti,” söz konusu Güvenlik araştırmacısı Randy McEoin, en erken bazılarını detaylandıran Clearfake kampanyaları 2023 yılında, olayı bir tedarik zinciri saldırısı örneği olarak tanımlamak.
Söz konusu video hizmeti Les Automotive (“Idostream[.]com “), o zamandan beri kötü amaçlı JavaScript enjeksiyonunu siteden çıkardı.
Bulgular ayrıca, çeşitli kötü amaçlı yazılım ailelerini zorlamak ve kimlik bilgisi hasatını yapmak için tasarlanmış birkaç kimlik avı kampanyasının keşfine denk geliyor –
- Kullanma Sanal Sabit Disk (VHD) Dosyaları Bir Windows toplu komut dosyası aracılığıyla Venom Rat’ı dağıtmak için e -posta mesajlarındaki arşiv dosyası eklerine gömülü
- Kullanma Microsoft Excel Dosya Ekleri Daha sonra, Asyncrat ve Remcos Rat Remcos Rat’ı kodlamaktan sorumlu başka bir yükü içeren bir görüntüyü almak için bir HTML uygulamasını (HTA) indirmek için bilinen bir güvenlik kusurunu (CVE-2017-0199) kullanan bir HTML uygulaması (HTA) indirmek için kullanan
- Sömürme Microsoft 365 altyapısında yanlış yapılandırmalar Kiracıların kontrolünü ele geçirmek, yeni idari hesaplar oluşturmak ve e -posta güvenlik korumalarını atlayan ve sonuçta kimlik bilgisi hasat ve hesap devralmayı (ATO) kolaylaştıran kimlik avı içeriği sunmak için
Sosyal mühendislik kampanyaları daha sofistike olmaya devam ettikçe, kuruluşların ve işletmelerin eğrinin önünde kalmaları ve ortadaki düşman (AITM) ve ortada tarayıcı (BITM) teknikleri, saldırganların hakem hesaplarına izin veren sağlam kimlik doğrulama ve erişim kontrol mekanizmalarını uygulamaları önemlidir.
Google’a ait maniant, “Bitm çerçevesi kullanmanın önemli bir yararı, hızlı hedefleme yeteneğinde yatıyor, saniyeler içinde ve minimum yapılandırma ile web’deki herhangi bir web sitesine ulaşmasına izin veriyor,” Google’a ait maniant söz konusu Bu hafta yayınlanan bir raporda.
“Bir uygulama bir BITM aracı veya çerçevesi aracılığıyla hedeflendikten sonra, meşru site saldırgan kontrollü bir tarayıcı aracılığıyla sunulur. Bu, bir kurban için meşru ve sahte bir site arasındaki ayrımı, bir düşman açısından son derece zorlaştırır.
