Ssylka

Как ClearFake заражает тысячи сайтов через фейковые проверки?

ClearFake распространяется на свыше 9 300 сайтов, используя фальшивые проверки reCAPTCHA и Cloudflare Turnstile для доставки информационных крадцов, таких как Lumma Stealer, Vidar Stealer и SectopRAT, на устройства с Windows и macOS.
Как ClearFake заражает тысячи сайтов через фейковые проверки?
Изображение носит иллюстративный характер

Первое обнаружение угрозы датируется июлем 2023 года, когда группа ClearFake начала использовать компрометированные сайты WordPress, привлекая пользователей под видом обновления веб-браузера.

Методика атак опирается на внедрение ложных механизмов верификации, что уже в июле 2024 года позволило потенциально затронуть около 200 000 уникальных пользователей с приманками для загрузки вредоносного ПО.

Особое внимание уделяется использованию техники EtherHiding: контракты Binance Smart Chain задействованы для получения следующего этапа загрузки вредоносного кода, что повышает устойчивость всей атаки.

С мая 2024 года применяется новая социально-инженерная тактика ClickFix, когда пользователей побуждают запускать вредоносный код PowerShell под предлогом устранения технической неисправности, а модернизированные варианты атаки включают взаимодействие с Binance Smart Chain через смарт-контрактные ABI, множественную загрузку JavaScript-ресурсов для создания уникальных отпечатков системы и использование возможностей Web3 для защиты HTML-кода приманки.

При посещении зараженного сайта промежуточный JavaScript, полученный с Binance Smart Chain, сначала фиксирует конфигурацию системы жертвы, а затем получает зашифрованный ClickFix код, размещенный на Cloudflare Pages. Кроме того, альтернативная цепочка атаки, обнаруженная в конце января 2025 года, вводит PowerShell загрузчик для установки Vidar Stealer.

Более 100 сайтов автомобильных дилеров оказались заражены через сторонний видеосервис LES Automotive (idostream[.]com), который впоследствии устранил вредоносные вставки. Параллельно действуют фишинговые кампании: через архивы с файлами VHD распространяется Venom RAT, а эксплойты в Microsoft Excel с CVE-2017-0199 загружают HTML-приложения, содержащие Visual Basic Script для активации AsyncRAT и Remcos RAT.

Злоумышленники также эксплуатируют уязвимости в настройках Microsoft 365, захватывая контроль над учетными записями, создавая новые административные аккаунты и распространяя фишинговый контент, который позволяет обходить защиту почтовых систем и похищать учетные данные.

Атаки типа Browser-in-the-Middle (BitM) и Adversary-in-the-Middle (AitM) становятся все изощреннее. По данным отчета подразделения Mandiant от Google, BitM позволяет злоумышленникам имитировать работу легитимного сайта, что затрудняет различие поддельных и настоящих страниц и способствует краже сессий, защищенных многофакторной аутентификацией.

Анализ Sekoia зафиксировал эволюцию ClearFake с интеграцией Binance Smart Chain и применением шифрования кода ClickFix, а исследователь Randy McEoin описал компрометацию автосалонов как цепочку поставок. Эти данные свидетельствуют о сложной и динамичной природе угрозы, требующей оперативного совершенствования мер кибербезопасности.


Новое на сайте

15656Сквозь водопад: триумф терпения в фотоконкурсе GDT 2025 15655Майское "цветочное полнолуние": микролуние 2024 года 15654Рождение миров: беспрецедентно четкие снимки формирующихся планет у далеких звезд 15653Загадочные космические вспышки: тайна LFBOT-взрывов во вселенной 15652Что стоит за рекордным снимком JWST с 1678 группами галактик? 15651Как театр в Солихулле вернулся к жизни после опасной бетонной угрозы? 15650Что скрывается за 7-месячной реконструкцией исторического театра за 3,5 миллиона фунтов? 15649Путь в гении: новая выставка о молодом Шекспире открывается в Стратфорде-на-Эйвоне 15648Научный оазис в скалистых горах: как заброшенный шахтёрский городок стал центром мировых... 15647Лоррейн Келли успокаивает поклонников перед хирургической операцией 15646Как вредоносные Go-модули стирают диски Linux-систем через атаки на цепочку поставок? 156459 незаменимых электроинструментов для каждого дома: когда и как их использовать 15644Астроном-любитель из вермонта запечатлел впечатляющие галактики со своей домашней... 15643Как финансовые стимулы в законе об эвтаназии могут повлиять на уязвимые группы населения? 15642Как гусеница-коллекционер костей стала хищником в паутинах Гавайев?