Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Clearfake infecta 9.300 sitios, utiliza recaptcha falso y torniquete para difundir los robadores de información
  • Tecnología

Clearfake infecta 9.300 sitios, utiliza recaptcha falso y torniquete para difundir los robadores de información

teknomers 19 de Mart de 2025 (Last updated: 19 de Mart de 2025) 6 minutes read
Clearfake infecta 9.300 sitios, utiliza recaptcha falso y torniquete para


19 de marzo de 2025Ravie LakshmananSeguridad en la nube / seguridad web

Los actores de amenaza detrás del Clearfake La campaña está utilizando verificaciones falsas de recaptcha o nube de tornas de nubes como señuelos para engañar a los usuarios para que descarguen malware como Lumma Stealer y Vidar Stealer.

ClearFake, destacado por primera vez en julio de 2023, es el nombre dado a un clúster de actividad de amenaza que emplea cebos de actualización del navegador web falso en WordPress comprometido como un vector de distribución de malware.

La campaña también es conocida por confiar en otra técnica conocida como Etherhiding para obtener la carga útil de la próxima etapa utilizando los contratos de la cadena inteligente (BSC) de Binance como una forma de hacer que la cadena de ataque sea más resistente. El objetivo final de estas cadenas de infección es entregar malware que roba información capaz de dirigirse a los sistemas Windows y MacOS.

A partir de mayo de 2024, los ataques ClearFake han adoptado lo que ya se ha conocido como ClickFix, un estratagema de ingeniería social Eso implica engañar a los usuarios para ejecutar el código de PowerShell malicioso bajo la apariencia de abordar un problema técnico inexistente.

Ciberseguridad

“Aunque esta nueva variante ClearFake continúa dependiendo de la técnica de ethiding y la táctica de clickFix, ha introducido interacciones adicionales con la cadena inteligente de binance”, Sekoia dicho En un nuevo análisis.

“Al utilizar las interfaces binarias de aplicaciones de Smart Contract, estas interacciones implican cargar múltiples códigos de JavaScript y recursos adicionales que imprpongan el sistema de la víctima, así como descargar, descifrar y mostrar el señuelo de ClickFix”.

La última iteración del marco ClearFake marca una evolución significativa, adoptando las capacidades de Web3 para resistir el análisis y encriptar el código HTML relacionado con ClickFix.

El resultado neto es una secuencia de ataque de varias etapas actualizada que se inicia cuando una víctima visita un sitio comprometido, que luego conduce a la recuperación de un código JavaScript intermedio de BSC. El JavaScript cargado es posteriormente responsable de hacer huellas dactilares el sistema y obtener el código CLICHIX cifrado alojado en las páginas de CloudFlare.

Si la víctima sigue y ejecuta el comando malicioso de PowerShell, conduce al despliegue del cargador Emmenhtal (también conocido como Peaklight) que posteriormente deja caer Lumma Stealer.

Recaptcha falso y torniquete

Sekoia dijo que observó una cadena alternativa de ataque Clearfake a fines de enero de 2025 que sirvió a un cargador de PowerShell responsable de instalar Vidar Stealer. Hasta el mes pasado, al menos 9.300 sitios web se han infectado con Clearfake.

“El operador ha actualizado constantemente el código de marco, los señuelos y las cargas útiles distribuidas a diario”, agregó. “La ejecución de ClearFake ahora se basa en múltiples datos almacenados en la cadena inteligente de Binance, incluido el código JavaScript, la tecla AES, las URL que alojan archivos HTML y comandos de ClickFix PowerShell”.

“El número de sitios web comprometidos por Clearfake sugiere que esta amenaza sigue siendo generalizada y afecta a muchos usuarios en todo el mundo. En julio de 2024, […] Aproximadamente 200,000 usuarios únicos estaban potencialmente expuestos a los señuelos de Clearfake alentándolos a descargar malware “.

El desarrollo se produce cuando se han descubierto más de 100 sitios de concesionario de automóviles comprometidos con Señuelos de clickfix Eso lleva a la implementación de malware Sectoprat.

“Donde ocurrió esta infección en los concesionarios de automóviles no fue en el sitio web del concesionario, sino en un servicio de video de terceros”, “,”, dicho El investigador de seguridad Randy McEoin, quien detalló algunos de los primeros Clearfake Campañas en 2023, describiendo el incidente como una instancia de un ataque de la cadena de suministro.

El servicio de video en cuestión es Les Automotive (“IDostream[.]com “), que desde entonces ha eliminado la inyección maliciosa de JavaScript del sitio.

Ciberseguridad

Los hallazgos también coinciden con el descubrimiento de varias campañas de phishing que están diseñadas para empujar a varias familias de malware y realizar la cosecha de credenciales,

  • Usando archivos de disco duro virtual (VHD) Incrustado dentro de los archivos adjuntos de archivo en mensajes de correo electrónico para distribuir Venom Rat por medio de un script por lotes de Windows
  • Usando Adjuntos de archivo de Microsoft Excel que explota una falla de seguridad conocida (CVE-2017-0199) para descargar una aplicación HTML (HTA) que luego usa Script Visual Basic (VBS) para obtener una imagen, que contiene otra carga útil responsable de decodificar y lanzar Asyncrat y REMCOS RAT
  • Explotación Configuraciones erróneas en la infraestructura de Microsoft 365 Para tomar el control de los inquilinos, crear nuevas cuentas administrativas y entregar contenido de phishing que pase por alto las protecciones de seguridad de correo electrónico y, en última instancia, facilite la recolección de credenciales y la adquisición de cuentas (ATO)

A medida que las campañas de ingeniería social continúan siendo más sofisticadas, es esencial que las organizaciones y las empresas se mantengan a la vanguardia de la curva e implementen la autenticación sólida y los mecanismos de control de acceso contra las técnicas adversas en el medio (AITM) y las técnicas de navegador en el medio (BITM) que permiten a los atacantes acoltar cuentas.

“Un beneficio fundamental de emplear un marco de BITM radica en su capacidad de orientación rápida, lo que le permite llegar a cualquier sitio web en la web en cuestión de segundos y con una configuración mínima”, Mandiant propiedad de Google dicho En un informe publicado esta semana.

“Una vez que una aplicación se dirige a través de una herramienta o marco de BITM, el sitio legítimo se sirve a través de un navegador controlado por el atacante. Esto hace que la distinción entre un sitio legítimo y falso excepcionalmente desafiante para una víctima.

¿Encontró este artículo interesante? Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Después de la condena de por vida en Bélgica, el mismo castigo para Nemmouche en juicio en París por rehenes en Siria
Next: Ladrones de fatbike que roban copias costosas esta vez reconocibles en la imagen

Related Stories

BYD habría intentado entrar en Renault: el golpe de thunder
  • Tecnología

BYD habría intentado entrar en Renault: el golpe de thunder que París bloqueó

teknomers 7 de Temmuz de 2026
Para duplicar el espacio de almacenamiento de tu PlayStation 5,
  • Tecnología

Para duplicar el espacio de almacenamiento de tu PlayStation 5, este SSD de 1 To está disponible por solo 130€

teknomers 7 de Temmuz de 2026
ThunderRobot se prepara para lanzar el gamer RTX 5070 de
  • Tecnología

ThunderRobot se prepara para lanzar el gamer RTX 5070 de 16 pulgadas más ligero del mundo.

teknomers 7 de Temmuz de 2026

You May Have Missed

  • General

Donald Trump llama a Meloni de Italia una ‘persona agradable’ pero la culpa por no ayudar con Irán

teknomers 7 de Temmuz de 2026
  • Deporte

El entrenador relata en la investigación el último contacto con Maddy Cusack

teknomers 7 de Temmuz de 2026
«El 6 puede aportar algo muy bueno»: la premonición fallida
  • Deporte

«El 6 puede aportar algo muy bueno»: la premonición fallida de Roberto Martinez, el exseleccionador de Portugal

teknomers 7 de Temmuz de 2026
  • General

Atentados en Damasco: Emmanuel Macron hace un llamado a no «dejar desestabilizar» Siria

teknomers 7 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.