ClearFake распространяется на свыше 9 300 сайтов, используя фальшивые проверки reCAPTCHA и Cloudflare Turnstile для доставки информационных крадцов, таких как Lumma Stealer, Vidar Stealer и SectopRAT, на устройства с Windows и macOS.
Первое обнаружение угрозы датируется июлем 2023 года, когда группа ClearFake начала использовать компрометированные сайты WordPress, привлекая пользователей под видом обновления веб-браузера.
Методика атак опирается на внедрение ложных механизмов верификации, что уже в июле 2024 года позволило потенциально затронуть около 200 000 уникальных пользователей с приманками для загрузки вредоносного ПО.
Особое внимание уделяется использованию техники EtherHiding: контракты Binance Smart Chain задействованы для получения следующего этапа загрузки вредоносного кода, что повышает устойчивость всей атаки.
С мая 2024 года применяется новая социально-инженерная тактика ClickFix, когда пользователей побуждают запускать вредоносный код PowerShell под предлогом устранения технической неисправности, а модернизированные варианты атаки включают взаимодействие с Binance Smart Chain через смарт-контрактные ABI, множественную загрузку JavaScript-ресурсов для создания уникальных отпечатков системы и использование возможностей Web3 для защиты HTML-кода приманки.
При посещении зараженного сайта промежуточный JavaScript, полученный с Binance Smart Chain, сначала фиксирует конфигурацию системы жертвы, а затем получает зашифрованный ClickFix код, размещенный на Cloudflare Pages. Кроме того, альтернативная цепочка атаки, обнаруженная в конце января 2025 года, вводит PowerShell загрузчик для установки Vidar Stealer.
Более 100 сайтов автомобильных дилеров оказались заражены через сторонний видеосервис LES Automotive (idostream[.]com), который впоследствии устранил вредоносные вставки. Параллельно действуют фишинговые кампании: через архивы с файлами VHD распространяется Venom RAT, а эксплойты в Microsoft Excel с CVE-2017-0199 загружают HTML-приложения, содержащие Visual Basic Script для активации AsyncRAT и Remcos RAT.
Злоумышленники также эксплуатируют уязвимости в настройках Microsoft 365, захватывая контроль над учетными записями, создавая новые административные аккаунты и распространяя фишинговый контент, который позволяет обходить защиту почтовых систем и похищать учетные данные.
Атаки типа Browser-in-the-Middle (BitM) и Adversary-in-the-Middle (AitM) становятся все изощреннее. По данным отчета подразделения Mandiant от Google, BitM позволяет злоумышленникам имитировать работу легитимного сайта, что затрудняет различие поддельных и настоящих страниц и способствует краже сессий, защищенных многофакторной аутентификацией.
Анализ Sekoia зафиксировал эволюцию ClearFake с интеграцией Binance Smart Chain и применением шифрования кода ClickFix, а исследователь Randy McEoin описал компрометацию автосалонов как цепочку поставок. Эти данные свидетельствуют о сложной и динамичной природе угрозы, требующей оперативного совершенствования мер кибербезопасности.
Изображение носит иллюстративный характер
Первое обнаружение угрозы датируется июлем 2023 года, когда группа ClearFake начала использовать компрометированные сайты WordPress, привлекая пользователей под видом обновления веб-браузера.
Методика атак опирается на внедрение ложных механизмов верификации, что уже в июле 2024 года позволило потенциально затронуть около 200 000 уникальных пользователей с приманками для загрузки вредоносного ПО.
Особое внимание уделяется использованию техники EtherHiding: контракты Binance Smart Chain задействованы для получения следующего этапа загрузки вредоносного кода, что повышает устойчивость всей атаки.
С мая 2024 года применяется новая социально-инженерная тактика ClickFix, когда пользователей побуждают запускать вредоносный код PowerShell под предлогом устранения технической неисправности, а модернизированные варианты атаки включают взаимодействие с Binance Smart Chain через смарт-контрактные ABI, множественную загрузку JavaScript-ресурсов для создания уникальных отпечатков системы и использование возможностей Web3 для защиты HTML-кода приманки.
При посещении зараженного сайта промежуточный JavaScript, полученный с Binance Smart Chain, сначала фиксирует конфигурацию системы жертвы, а затем получает зашифрованный ClickFix код, размещенный на Cloudflare Pages. Кроме того, альтернативная цепочка атаки, обнаруженная в конце января 2025 года, вводит PowerShell загрузчик для установки Vidar Stealer.
Более 100 сайтов автомобильных дилеров оказались заражены через сторонний видеосервис LES Automotive (idostream[.]com), который впоследствии устранил вредоносные вставки. Параллельно действуют фишинговые кампании: через архивы с файлами VHD распространяется Venom RAT, а эксплойты в Microsoft Excel с CVE-2017-0199 загружают HTML-приложения, содержащие Visual Basic Script для активации AsyncRAT и Remcos RAT.
Злоумышленники также эксплуатируют уязвимости в настройках Microsoft 365, захватывая контроль над учетными записями, создавая новые административные аккаунты и распространяя фишинговый контент, который позволяет обходить защиту почтовых систем и похищать учетные данные.
Атаки типа Browser-in-the-Middle (BitM) и Adversary-in-the-Middle (AitM) становятся все изощреннее. По данным отчета подразделения Mandiant от Google, BitM позволяет злоумышленникам имитировать работу легитимного сайта, что затрудняет различие поддельных и настоящих страниц и способствует краже сессий, защищенных многофакторной аутентификацией.
Анализ Sekoia зафиксировал эволюцию ClearFake с интеграцией Binance Smart Chain и применением шифрования кода ClickFix, а исследователь Randy McEoin описал компрометацию автосалонов как цепочку поставок. Эти данные свидетельствуют о сложной и динамичной природе угрозы, требующей оперативного совершенствования мер кибербезопасности.
