İlk olarak Temmuz 2023’te tanımlanan kötü niyetli bir JavaScript çerçevesi olan ClearFake, sofistike yeni sosyal mühendislik taktikleriyle gelişti.
Başlangıçta sahte tarayıcı güncelleme sayfalarını görüntülemek için tasarlanan çerçeve, tehlikeye atılan web siteleri aracılığıyla kötü amaçlı yazılım sunmak için daha gelişmiş aldatma teknikleri ekleyerek önemli gelişmelerden geçmiştir.
Aralık 2024’te keşfedilen en son varyant, kullanıcıları kötü niyetli PowerShell kodu yürütmeleri için kandırmak için sahte Recaptcha veya Cloudflare Turnstile doğrulama zorlukları kullanıyor.
Bu, sahte tarayıcı güncellemelerine dayanan önceki sürümlerden önemli bir evrimi temsil eder.
Sekoia analistleri, bu yeni varyantın “eterhiding” tekniğini kullanmaya devam ettiğini, ancak Binance akıllı zinciriyle ek etkileşimler getirdiğini keşfetti.
Çerçeve, aldatıcı yemleri indirmeden, şifrelemeden ve göstermeden önce kurbanların sistemlerini parmak izi yapan birden fazla JavaScript kodu ve kaynak dağıtıyor.
Kullanıcılar tehlikeye atılan bir web sitesini ziyaret ettiklerinde, Web3 kitaplıklarını yükleyen ve Binance akıllı zinciriyle iletişimi başlatan bir ilk komut dosyasıyla karşılaşırlar.
Kötü niyetli kod, akıllı sözleşmelerde gizlenir, bu da blockchain verilerinin değişmez doğası nedeniyle analizi daha zor hale getirir ve analizi neredeyse imkansız hale getirir.
.webp)
Enfeksiyon akışı, Blockchain akıllı sözleşmelerinden kötü amaçlı kod alan ve sonuçta sahte güvenlik zorluklarının gösterilmesine yol açan tehlikeye atılan web sitelerinde enjekte edilen JavaScript ile başlar.
Saldırı analizi
Saldırı, Web3, Pako ve Crypto-JS gibi meşru bağımlılıklar yükleyen güvenliği ihlal edilmiş web sitelerine (çoğunlukla WordPress siteleri) enjekte edilen kısa bir JavaScript kodu ile başlar.
Bu ilk komut dosyası, ek kod segmentlerini almak ve yürütmek için 0x9179dda8b285040bf381aabb8a1f4a1b8c37ed53 gibi cüzdan adreslerinde akıllı sözleşmelerle etkileşime girer.
Kötü amaçlı yazılım, yürütmeden önce şifre çözülmesi gereken sıkıştırılmış ve baz 64 kodlu verileri kullanır.
Kullanıcılara sunulan ClickFix cazibesi, bir DNS hata mesajının yanı sıra “olağandışı web trafiği” veya sahte bir Recaptcha mücadelesini algıladığını iddia eden sahte bir Cloudflare turnikesi doğrulamasını içerir.
Her iki Lure de kullanıcılara Run komutunu açmalarını (WIN+R) ve otomatik olarak panosuna kopyalanan bir PowerShell komutunu yürütmelerini söyler.
.webp)
Sahte Recaptcha, kullanıcılardan otomobil görüntülerini seçmelerini isterken, sahte Cloudflare turnikesi kullanıcılara bir doğrulama zorluğu sunar ve her ikisi de sonuçta sosyal mühendislik girişimlerine yol açar.
PowerShell komutları, emmenhtal yükleyici ve sonuçta lumma stealer veya vidar stealer dahil olmak üzere yükler sunan uzak komut dosyalarıyla mshta.exe’yi yürütür.
Sekoia araştırmacıları, ClearFake altyapısının 9.300’den fazla tehlikeye atılmış web sitesini içerdiğini ve binlerce kullanıcının her gün bu kötü niyetli yemlere maruz kaldığını belirtti.
Kötü amaçlı yazılım teslimi için blockchain teknolojisinin kullanılması, geleneksel hafifletmeyi ve engellemeyi önemli ölçüde daha zorlaştıran ortaya çıkan bir tehdidi temsil eder.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.