ClearFake kötü amaçlı yazılım çerçevesinin yakın tarihli bir varyantı, kullanıcıları kötü niyetli PowerShell kodu yürütmeye kandırmak için sahte Recaptcha ve Cloudflare turnikesi doğrulamalarından yararlandı.
Bu evrim, ClearFake’in tehlikeye atılan web siteleri aracılığıyla kötü amaçlı yazılım sunmak için Web3 özelliklerinden nasıl yararlandığı konusunda önemli bir değişime işaret ediyor.
Yeni varyantın teknik analizi
İlk olarak Temmuz 2023’te tespit edilen ClearFake, başlangıçta kullanıcıları sahte tarayıcı güncellemelerini indirmek için kandırmak için basit bir JavaScript enjeksiyon tekniği kullandı.
Bununla birlikte, Aralık 2024’e kadar, daha sofistike taktikleri dahil etmek için gelişmişti.
En son varyant, kötü niyetli JavaScript kodlarını barındırmak ve yüklemek için akıllı sözleşmeleri kullanarak Binance akıllı zinciriyle etkileşime girerek Web3’ü kullanmaya devam ediyor.
Bu etkileşimler, kurbanın sistemini parmak izlemeyi ve şifreli ClickFix cazibe html dosyalarının indirilmesini içerir, bunlar daha sonra şifre çözülür ve kullanıcılara görüntülenir.
Daha önce tanıtılan ClickFix taktiği, kullanıcıları teknik sorunları veya hata mesajlarını taklit ederek PowerShell komut dosyalarını yürütmeye kandırır.
ClearFake Framework, Binance akıllı zincirinden ek kod segmentlerini yüklemek ve yürütmek için, genellikle WordPress sitelerine, tehlikeye atılan web sitelerine kısa bir JavaScript kodu enjekte eder.
Sekoia blog raporuna göre, bu ilk komut dosyası, blockchain ile etkileşim kurmak için Web3 kütüphanesini kullanıyor ve akıllı sözleşmelerde gizlenmiş ve saklanan sonraki aşamalı yükleri alıyor.
Yükler GZIP ile sıkıştırılır ve yürütmeden önce kod çözme ve dekompresyon gerektiren Base64’te kodlanır.
Akıllı sözleşmelerin kullanılması, ClearFake’in ödün verilen web sitelerini doğrudan değiştirmeden yüklerini dinamik olarak güncellemesine izin verir.
Kötü amaçlı yazılım teslimi
Kötü niyetli çerçeve, Lumma Stealer ve Vidar Stealer’ı düşüren Emmenhtal Loader dahil olmak üzere çeşitli kötü amaçlı yazılım yükleyicileri sunar.
Bu yükleyiciler, enfekte sistemlerden hassas bilgileri çalmak için tasarlanmıştır.
En son varyantın sahte Recaptcha ve Cloudflare turnikesi doğrulamalarına olan güvenmesi, bir sosyal mühendislik karmaşıklığı katmanı ekleyerek kullanıcıların meşru güvenlik önlemlerini kötü niyetli faaliyetlerden ayırmasını daha zor hale getiriyor.
Bu evrim, ClearFake’in devam ettiği tehdidi ve bu tür sofistike kötü amaçlı yazılım dağıtım taktiklerine karşı korunmak için artan siber güvenlik önlemlerine duyulan ihtiyacı vurgulamaktadır.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.