ClearFake распространяется на свыше 9 300 сайтов, используя фальшивые проверки reCAPTCHA и Cloudflare Turnstile для доставки информационных крадцов, таких как Lumma Stealer, Vidar Stealer и SectopRAT, на устройства с Windows и macOS.
Первое обнаружение угрозы датируется июлем 2023 года, когда группа ClearFake начала использовать компрометированные сайты WordPress, привлекая пользователей под видом обновления веб-браузера.
Методика атак опирается на внедрение ложных механизмов верификации, что уже в июле 2024 года позволило потенциально затронуть около 200 000 уникальных пользователей с приманками для загрузки вредоносного ПО.
Особое внимание уделяется использованию техники EtherHiding: контракты Binance Smart Chain задействованы для получения следующего этапа загрузки вредоносного кода, что повышает устойчивость всей атаки.
С мая 2024 года применяется новая социально-инженерная тактика ClickFix, когда пользователей побуждают запускать вредоносный код PowerShell под предлогом устранения технической неисправности, а модернизированные варианты атаки включают взаимодействие с Binance Smart Chain через смарт-контрактные ABI, множественную загрузку JavaScript-ресурсов для создания уникальных отпечатков системы и использование возможностей Web3 для защиты HTML-кода приманки.
При посещении зараженного сайта промежуточный JavaScript, полученный с Binance Smart Chain, сначала фиксирует конфигурацию системы жертвы, а затем получает зашифрованный ClickFix код, размещенный на Cloudflare Pages. Кроме того, альтернативная цепочка атаки, обнаруженная в конце января 2025 года, вводит PowerShell загрузчик для установки Vidar Stealer.
Более 100 сайтов автомобильных дилеров оказались заражены через сторонний видеосервис LES Automotive (idostream[.]com), который впоследствии устранил вредоносные вставки. Параллельно действуют фишинговые кампании: через архивы с файлами VHD распространяется Venom RAT, а эксплойты в Microsoft Excel с CVE-2017-0199 загружают HTML-приложения, содержащие Visual Basic Script для активации AsyncRAT и Remcos RAT.
Злоумышленники также эксплуатируют уязвимости в настройках Microsoft 365, захватывая контроль над учетными записями, создавая новые административные аккаунты и распространяя фишинговый контент, который позволяет обходить защиту почтовых систем и похищать учетные данные.
Атаки типа Browser-in-the-Middle (BitM) и Adversary-in-the-Middle (AitM) становятся все изощреннее. По данным отчета подразделения Mandiant от Google, BitM позволяет злоумышленникам имитировать работу легитимного сайта, что затрудняет различие поддельных и настоящих страниц и способствует краже сессий, защищенных многофакторной аутентификацией.
Анализ Sekoia зафиксировал эволюцию ClearFake с интеграцией Binance Smart Chain и применением шифрования кода ClickFix, а исследователь Randy McEoin описал компрометацию автосалонов как цепочку поставок. Эти данные свидетельствуют о сложной и динамичной природе угрозы, требующей оперативного совершенствования мер кибербезопасности.
Первое обнаружение угрозы датируется июлем 2023 года, когда группа ClearFake начала использовать компрометированные сайты WordPress, привлекая пользователей под видом обновления веб-браузера.
Методика атак опирается на внедрение ложных механизмов верификации, что уже в июле 2024 года позволило потенциально затронуть около 200 000 уникальных пользователей с приманками для загрузки вредоносного ПО.
Особое внимание уделяется использованию техники EtherHiding: контракты Binance Smart Chain задействованы для получения следующего этапа загрузки вредоносного кода, что повышает устойчивость всей атаки.
С мая 2024 года применяется новая социально-инженерная тактика ClickFix, когда пользователей побуждают запускать вредоносный код PowerShell под предлогом устранения технической неисправности, а модернизированные варианты атаки включают взаимодействие с Binance Smart Chain через смарт-контрактные ABI, множественную загрузку JavaScript-ресурсов для создания уникальных отпечатков системы и использование возможностей Web3 для защиты HTML-кода приманки.
При посещении зараженного сайта промежуточный JavaScript, полученный с Binance Smart Chain, сначала фиксирует конфигурацию системы жертвы, а затем получает зашифрованный ClickFix код, размещенный на Cloudflare Pages. Кроме того, альтернативная цепочка атаки, обнаруженная в конце января 2025 года, вводит PowerShell загрузчик для установки Vidar Stealer.
Более 100 сайтов автомобильных дилеров оказались заражены через сторонний видеосервис LES Automotive (idostream[.]com), который впоследствии устранил вредоносные вставки. Параллельно действуют фишинговые кампании: через архивы с файлами VHD распространяется Venom RAT, а эксплойты в Microsoft Excel с CVE-2017-0199 загружают HTML-приложения, содержащие Visual Basic Script для активации AsyncRAT и Remcos RAT.
Злоумышленники также эксплуатируют уязвимости в настройках Microsoft 365, захватывая контроль над учетными записями, создавая новые административные аккаунты и распространяя фишинговый контент, который позволяет обходить защиту почтовых систем и похищать учетные данные.
Атаки типа Browser-in-the-Middle (BitM) и Adversary-in-the-Middle (AitM) становятся все изощреннее. По данным отчета подразделения Mandiant от Google, BitM позволяет злоумышленникам имитировать работу легитимного сайта, что затрудняет различие поддельных и настоящих страниц и способствует краже сессий, защищенных многофакторной аутентификацией.
Анализ Sekoia зафиксировал эволюцию ClearFake с интеграцией Binance Smart Chain и применением шифрования кода ClickFix, а исследователь Randy McEoin описал компрометацию автосалонов как цепочку поставок. Эти данные свидетельствуют о сложной и динамичной природе угрозы, требующей оперативного совершенствования мер кибербезопасности.
