Les acteurs de la menace derrière le Clearfake La campagne utilise les fausses vérifications de Turnique RecaptCha ou Cloudflare comme leur leur des lacs pour informer les utilisateurs dans le téléchargement de logiciels malveillants tels que Lumma Stealer et Vidar Stealer.
Clearfake, mis en évidence pour la première fois en juillet 2023, est le nom donné à un cluster d’activités de menace qui utilise Faux appâts de mise à jour du navigateur Web sur WordPress compromis en tant que vecteur de distribution de logiciels malveillants.
La campagne est également connue pour s’appuyer sur une autre technique connue sous le nom d’EtherHiding pour récupérer la charge utile à la prochaine étape en utilisant les contrats de la chaîne intelligente de Binance (BSC) comme moyen de rendre la chaîne d’attaque plus résiliente. L’objectif final de ces chaînes d’infection est de fournir des logiciels malveillants de vol d’informations capables de cibler les systèmes Windows et MacOS.
En mai 2024, les attaques de Clearfake ont adopté ce qui est maintenant connu sous le nom de Clickfix, un stratagème en génie social Cela implique de tromper les utilisateurs dans l’exécution du code PowerShell malveillant sous le couvert de résoudre un problème technique inexistant.
“Bien que cette nouvelle variante Clearfake continue de s’appuyer sur la technique de l’étan et la tactique Clickfix, elle a introduit des interactions supplémentaires avec la chaîne intelligente Binance”, Sekoia dit dans une nouvelle analyse.
“En utilisant les interfaces binaires d’application de Smart Contrat, ces interactions impliquent le chargement de plusieurs codes JavaScript et des ressources supplémentaires qui emprentent le système de la victime, ainsi que le téléchargement, le décryptage et l’affichage du leurre Clickfix.”
La dernière itération du cadre Clearfake marque une évolution significative, adoptant des capacités Web3 pour résister à l’analyse et crypter le code HTML lié à ClickFix.
Le résultat net est une séquence d’attaque à plusieurs étapes mise à jour qui est lancée lorsqu’une victime visite un site compromis, qui conduit ensuite à la récupération d’un code JavaScript intermédiaire de BSC. Le JavaScript chargé est par la suite responsable de l’empreinte digitale du système et de la récupération du code ClickFix crypté hébergé sur les pages CloudFlare.
Si la victime suivait et exécute le commandement malveillant PowerShell, cela conduit au déploiement de chargeur Emmenhtal (alias Peaklight) qui laisse tomber Lummma Stealer.
Sekoia a déclaré avoir observé une autre chaîne d’attaque de Clearfake fin janvier 2025 qui a servi un chargeur PowerShell responsable de l’installation du voleur de Vidar. Le mois dernier, au moins 9 300 sites Web ont été infectés par Clearfake.
“L’opérateur a systématiquement mis à jour le code du framework, les leurres et les charges utiles distribuées quotidiennement”, a-t-il ajouté. “L’exécution de Clearfake s’appuie désormais sur plusieurs éléments de données stockés dans la chaîne intelligente Binance, y compris le code JavaScript, la clé AES, les URL hébergeant des fichiers HTML et les commandes ClickFix PowerShell.”
“Le nombre de sites Web compromis par Clearfake suggère que cette menace reste répandue et affecte de nombreux utilisateurs dans le monde. En juillet 2024, […] Environ 200 000 utilisateurs uniques ont été potentiellement exposés à des leurres Clearfake les encourageant à télécharger des logiciels malveillants. “
Le développement intervient alors que plus de 100 sites de concessionnaires automobiles ont été découverts compromis avec Clickfix Lres Cela a conduit au déploiement de logiciels malveillants sectoprat.
“Lorsque cette infection sur les concessionnaires automobiles s’est produite n’était pas sur le site Web du concessionnaire, mais un service vidéo tiers”, ” dit Le chercheur en sécurité Randy McEoin, qui a détaillé certains des premiers Campagnes Clearfake en 2023, décrivant l’incident comme une instance d’une attaque de chaîne d’approvisionnement.
Le service vidéo en question est Les Automotive (“IdoStream[.]com “), qui a depuis supprimé l’injection de javascript malveillante du site.
Les résultats coïncident également avec la découverte de plusieurs campagnes de phishing qui sont conçues pour pousser diverses familles de logiciels malveillants et effectuer une récolte d’identification –
- En utilisant fichiers virtuels durs (VHD) intégré dans les pièces jointes des fichiers d’archives dans les e-mails pour distribuer Venom Rat au moyen d’un script Windows Batch
- En utilisant Pièces jointes de fichiers Microsoft Excel qui exploite un défaut de sécurité connu (CVE-2017-0199) pour télécharger une application HTML (HTA) qui utilise ensuite le script de base visuel (VBS) pour récupérer une image, qui contient une autre charge utile responsable du décodage et du lancement d’asyncrat et de Remcos Rat
- Exploitant Médifigurations dans l’infrastructure Microsoft 365 Pour prendre le contrôle des locataires, créer de nouveaux comptes administratifs et livrer du contenu de phishing qui contourne les protections de sécurité par e-mail et facilite finalement la récolte et la prise de contrôle des comptes (ATO)
Alors que les campagnes d’ingénierie sociale continuent de devenir plus sophistiquées, il est essentiel que les organisations et les entreprises restent en avance sur la courbe et mettent en œuvre des mécanismes d’authentification et de contrôle d’accès robustes contre les techniques de l’adversaire dans le milieu (AITM) et des techniques de navigateur dans le milieu (BITM) qui permettent aux attaquants de détourner des comptes.
“Un avantage central de l’utilisation d’un cadre BITM réside dans sa capacité de ciblage rapide, lui permettant d’atteindre n’importe quel site Web sur le Web en quelques secondes et avec une configuration minimale”, Mandiant appartenant à Google dit Dans un rapport publié cette semaine.
“Une fois qu’une application est ciblée via un outil ou un cadre Bitm, le site légitime est servi par un navigateur contrôlé par l’attaquant.




