ClearFake: una minaccia in evoluzione
La campagna ClearFake, emersa per la prima volta a luglio 2023, rappresenta un cluster di attività malevole che sfrutta esche di aggiornamenti falsi del browser su siti WordPress compromessi per distribuire malware. Gli attori della minaccia dietro questa campagna utilizzano verifiche false di reCAPTCHA o Cloudflare Turnstile per ingannare gli utenti e indurli a scaricare malware come Lumma Stealer e Vidar Stealer.
EtherHiding e ClickFix: tecniche di attacco avanzate
Una delle tecniche distintive di ClearFake è l’uso di EtherHiding, che sfrutta i contratti della Binance Smart Chain (BSC) per rendere la catena di attacco più resiliente. A partire da maggio 2024, gli attacchi ClearFake hanno adottato una nuova tattica di ingegneria sociale nota come ClickFix, che inganna gli utenti facendogli eseguire codice PowerShell malevolo sotto la falsa premessa di risolvere un problema tecnico inesistente.
Interazioni con la Binance Smart Chain
Secondo un’analisi di Sekoia, la variante più recente di ClearFake continua a utilizzare la tecnica EtherHiding e la tattica ClickFix, ma ha introdotto ulteriori interazioni con la Binance Smart Chain. Queste interazioni coinvolgono il caricamento di codici JavaScript multipli e risorse aggiuntive che effettuano il fingerprinting del sistema della vittima, oltre a scaricare, decriptare e visualizzare l’esca ClickFix.
Capacità Web3 e resistenza all’analisi
L’ultima iterazione del framework ClearFake segna un’evoluzione significativa, adottando capacità Web3 per resistere all’analisi e criptando il codice HTML relativo a ClickFix. Il risultato netto è una sequenza di attacco multi-stadio aggiornata che si inizia quando una vittima visita un sito compromesso, portando al recupero di un codice JavaScript intermedio dalla BSC. Il JavaScript caricato è successivamente responsabile del fingerprinting del sistema e del recupero del codice ClickFix criptato ospitato su Cloudflare Pages.
Distribuzione di malware e impatto globale
Se la vittima esegue il comando PowerShell malevolo, si attiva il Emmenhtal Loader (noto anche come PEAKLIGHT) che successivamente rilascia Lumma Stealer. Sekoia ha osservato una catena di attacco ClearFake alternativa a fine gennaio 2025 che serviva un loader PowerShell responsabile dell’installazione di Vidar Stealer. Al mese scorso, almeno 9.300 siti web sono stati infettati da ClearFake.
Aggiornamenti continui e diffusione
“L’operatore ha costantemente aggiornato il codice del framework, le esche e i payload distribuiti su base giornaliera,” ha aggiunto Sekoia. “L’esecuzione di ClearFake ora si basa su più dati memorizzati nella Binance Smart Chain, inclusi codici JavaScript, chiavi AES, URL che ospitano file HTML esca e comandi PowerShell ClickFix.” Il numero di siti web compromessi da ClearFake suggerisce che questa minaccia rimane diffusa e colpisce molti utenti in tutto il mondo. A luglio 2024, circa 200.000 utenti unici sono stati potenzialmente esposti alle esche di ClearFake che li incoraggiavano a scaricare malware.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!