Arkasındaki tehdit aktörleri Recirfake Kampanya, kullanıcıları lumma stealer ve vidar stealer gibi kötü amaçlı yazılımları indirmek için kandırmak için sahte Recaptcha veya Cloudflare turnikesi doğrulamaları kullanıyor.
İlk olarak Temmuz 2023’te vurgulanan ClearFake, kötü amaçlı yazılım dağıtım vektörü olarak tehlikeye atılan WordPress’te sahte web tarayıcısı güncelleme yemlerini kullanan bir tehdit etkinliği kümesine verilen addır.
Kampanya, Binance’ın Akıllı Zinciri (BSC) sözleşmelerini saldırı zincirini daha esnek hale getirmenin bir yolu olarak kullanarak bir sonraki aşamalı yükü almak için Etherhiding olarak bilinen başka bir tekniğe güvenmekle de biliniyor. Bu enfeksiyon zincirlerinin nihai amacı, hem Windows hem de MacOS sistemlerini hedefleyebilen bilgi çalma kötü amaçlı yazılım sunmaktır.
Mayıs 2024 itibariyle, ClearFake saldırıları, kullanıcıları var olmayan bir teknik sorunu ele alma kisvesi altında kötü niyetli PowerShell kodunu çalıştırmaya yönlendiren bir sosyal mühendislik pili olan ClickFix olarak bilinen şeyleri benimsedi.
Sekoia, yeni bir analizde, “Bu yeni ClearFake varyantı eterhiding tekniğine ve ClickFix taktiğine güvenmeye devam etmesine rağmen, Binance akıllı zincirle ek etkileşimler getirdi.” Dedi.
“Smart Squelt’in uygulama ikili arayüzlerini kullanarak, bu etkileşimler, kurbanın sistemini parmak izini parmak izlemenin yanı sıra ClickFix cazibesini indirmeyi, şifresini çözmeyi ve görüntüleyen birden fazla JavaScript kodu ve ek kaynakların yüklenmesini içerir.”
ClearFake Framework’ün en son yinelemesi, analize direnmek ve ClickFix ile ilgili HTML kodunu şifrelemek için Web3 özelliklerini benimseyerek önemli bir evrimi işaret eder.
Net sonuç, bir kurbanın tehlikeye atılmış bir siteyi ziyaret ettiğinde başlatılan güncellenmiş çok aşamalı saldırı dizisidir ve bu da BSC’den bir ara JavaScript kodunun alınmasına yol açar. Yüklü JavaScript daha sonra sistemi parmak izlemekten ve CloudFlare sayfalarında barındırılan şifreli ClickFix kodunu almaktan sorumludur.
Kurban kötü niyetli PowerShell komutunu takip eder ve yürütürse, daha sonra Lumma Stealer’ı düşüren Emmenhtal yükleyici (aka peaklight) dağıtımına yol açar.
Sekoia, Ocak 2025’in sonlarında Vidar Stealer’ın yüklenmesinden sorumlu bir PowerShell yükleyicisine hizmet veren alternatif bir ClearFake saldırı zinciri gözlemlediğini söyledi. Geçen ay itibariyle, en az 9.300 web sitesine ClearFake ile enfekte olmuştur.
“Operatör, çerçeve kodunu, lures ve dağıtılmış yükleri günlük olarak sürekli olarak güncelledi.” “ClearFake Yürütme artık JavaScript kodu, AES tuşu, lure html dosyalarını barındıran URL’ler ve ClickFix PowerShell komutları dahil olmak üzere Binance akıllı zincirinde depolanan birden fazla veri parçasına dayanıyor.”
“ClearFake tarafından tehlikeye atılan web sitelerinin sayısı, bu tehdidin yaygın kaldığını ve dünya çapında birçok kullanıcıyı etkilediğini gösteriyor. Temmuz 2024’te, […] Yaklaşık 200.000 benzersiz kullanıcı potansiyel olarak, kötü amaçlı yazılım indirmeye teşvik eden ClearFake Lures’a maruz kaldı. “
Geliştirme, 100’den fazla otomatik bayilik sitesinin, Sectoprat kötü amaçlı yazılımların dağıtımına yol açan tıklama lurları ile tehlikeye atıldığı keşfedildi.
2023’teki en eski Clearfake kampanyalarından bazılarını bir tedarik zinciri saldırısı örneği olarak tanımlayan güvenlik araştırmacısı Randy McEoin, “Otomobil bayilerindeki bu enfeksiyonun bayiliğin kendi web sitesinde değil, üçüncü taraf bir video hizmeti olduğunu” söyledi.
Söz konusu video hizmeti Les Automotive (“Idostream[.]com “), o zamandan beri kötü amaçlı JavaScript enjeksiyonunu siteden çıkardı.
Bulgular ayrıca, çeşitli kötü amaçlı yazılım ailelerini zorlamak ve kimlik bilgisi hasatını yapmak için tasarlanmış birkaç kimlik avı kampanyasının keşfine denk geliyor –
- Bir Windows toplu komut dosyası aracılığıyla Venom Rat’ı dağıtmak için e -posta mesajlarındaki arşiv dosyası eklerine gömülü sanal sabit disk (VHD) dosyalarını kullanma
- Daha sonra, Asyncrat ve Remcos Rat’ını kod çözmek ve piyasaya sürmekten sorumlu başka bir yükü içeren başka bir yükü içeren başka bir yükü içeren başka bir yükü içeren bir HTML uygulamasını (HTA) indirmek için bilinen bir güvenlik kusurunu (CVE-2017-0199) kullanan Microsoft Excel Dosya eklerini kullanarak (CVE-2017-0199)
- Microsoft 365 altyapısındaki yanlış yapılandırmalardan yararlanmak, kiracıların kontrolünü ele geçirmek, yeni idari hesaplar oluşturmak ve e -posta güvenlik korumalarını atlayan ve nihayetinde kimlik bilgisi hasat ve hesap devralma (ATO) kolaylaştıran kimlik avı içeriği sunmak
Sosyal mühendislik kampanyaları daha sofistike olmaya devam ettikçe, kuruluşların ve işletmelerin eğrinin önünde kalmaları ve ortadaki düşman (AITM) ve ortada tarayıcı (BITM) teknikleri, saldırganların hakem hesaplarına izin veren sağlam kimlik doğrulama ve erişim kontrol mekanizmalarını uygulamaları önemlidir.
Google, bu hafta yayınlanan bir raporda, “Bitm çerçevesi kullanmanın önemli bir yararı, hızlı hedefleme kapasitesinde yatıyor, web’deki herhangi bir web sitesine saniyeler içinde ve minimum yapılandırma ile ulaşmasına izin veriyor.” Dedi.
“Bir uygulama bir BITM aracı veya çerçevesi aracılığıyla hedeflendikten sonra, meşru site saldırgan kontrollü bir tarayıcı aracılığıyla sunulur. Bu, bir kurban için meşru ve sahte bir site arasındaki ayrımı, bir düşman açısından son derece zorlaştırır.