Ssylka

Как ClearFake заражает тысячи сайтов через фейковые проверки?

ClearFake распространяется на свыше 9 300 сайтов, используя фальшивые проверки reCAPTCHA и Cloudflare Turnstile для доставки информационных крадцов, таких как Lumma Stealer, Vidar Stealer и SectopRAT, на устройства с Windows и macOS.
Как ClearFake заражает тысячи сайтов через фейковые проверки?
Изображение носит иллюстративный характер

Первое обнаружение угрозы датируется июлем 2023 года, когда группа ClearFake начала использовать компрометированные сайты WordPress, привлекая пользователей под видом обновления веб-браузера.

Методика атак опирается на внедрение ложных механизмов верификации, что уже в июле 2024 года позволило потенциально затронуть около 200 000 уникальных пользователей с приманками для загрузки вредоносного ПО.

Особое внимание уделяется использованию техники EtherHiding: контракты Binance Smart Chain задействованы для получения следующего этапа загрузки вредоносного кода, что повышает устойчивость всей атаки.

С мая 2024 года применяется новая социально-инженерная тактика ClickFix, когда пользователей побуждают запускать вредоносный код PowerShell под предлогом устранения технической неисправности, а модернизированные варианты атаки включают взаимодействие с Binance Smart Chain через смарт-контрактные ABI, множественную загрузку JavaScript-ресурсов для создания уникальных отпечатков системы и использование возможностей Web3 для защиты HTML-кода приманки.

При посещении зараженного сайта промежуточный JavaScript, полученный с Binance Smart Chain, сначала фиксирует конфигурацию системы жертвы, а затем получает зашифрованный ClickFix код, размещенный на Cloudflare Pages. Кроме того, альтернативная цепочка атаки, обнаруженная в конце января 2025 года, вводит PowerShell загрузчик для установки Vidar Stealer.

Более 100 сайтов автомобильных дилеров оказались заражены через сторонний видеосервис LES Automotive (idostream[.]com), который впоследствии устранил вредоносные вставки. Параллельно действуют фишинговые кампании: через архивы с файлами VHD распространяется Venom RAT, а эксплойты в Microsoft Excel с CVE-2017-0199 загружают HTML-приложения, содержащие Visual Basic Script для активации AsyncRAT и Remcos RAT.

Злоумышленники также эксплуатируют уязвимости в настройках Microsoft 365, захватывая контроль над учетными записями, создавая новые административные аккаунты и распространяя фишинговый контент, который позволяет обходить защиту почтовых систем и похищать учетные данные.

Атаки типа Browser-in-the-Middle (BitM) и Adversary-in-the-Middle (AitM) становятся все изощреннее. По данным отчета подразделения Mandiant от Google, BitM позволяет злоумышленникам имитировать работу легитимного сайта, что затрудняет различие поддельных и настоящих страниц и способствует краже сессий, защищенных многофакторной аутентификацией.

Анализ Sekoia зафиксировал эволюцию ClearFake с интеграцией Binance Smart Chain и применением шифрования кода ClickFix, а исследователь Randy McEoin описал компрометацию автосалонов как цепочку поставок. Эти данные свидетельствуют о сложной и динамичной природе угрозы, требующей оперативного совершенствования мер кибербезопасности.


Новое на сайте

15389Подземное таяние под фундаментом северной Америки 15388NASA показала астероид Doughaldjohanson с формой булавы 15387Запрет восьми искусственных красителей в продуктах США: план Роберта Кеннеди-младшего 15386Как зловредный Docker-модуль использует Teneo Web3 для добычи криптовалюты через... 15385Влияние плана 529 на размер финансовой помощи в вузах 15384Первое свидетельство социального потребления алкоголя среди шимпанзе 15383Возвращение беверли Найт на родную сцену Веллингтона 15382«Череп» Марса: неожиданная находка ровера Perseverance в кратере Джезеро 15381Внутренние угрозы безопасности: браузеры как слабое звено в корпоративной защите 15380Тайна столкновения в скоплении персея раскрыта 15379Уязвимость ConfusedComposer в GCP Cloud Composer открывает путь к эскалации привилегий 15378Как когнитивные тесты помогают воспитать послушного щенка 15377Почему астероид Дональджонсон удивляет геологов всей сложностью? 15376Почему забыть отравление едой невозможно? 15375Стальная гнездовая коробка на мосту: надежная защита для орланов и автомобилистов