ClearFake: Новая угроза кибербезопасности и вредоносные технологии
Источник: blog.sekoia.io
В последние месяцы образовалась новая опасная тенденция в мире киберугроз – ClearFake, JavaScript-фреймворк, который активно используется для распространения вредоносного ПО через взломанные веб-сайты. Появившийся в июле 2023 года, ClearFake стал инструментом для манипуляции пользователями и внедрения вредоносных кодов, используя методы быстрой загрузки.
Эволюция методов ClearFake
Изначально ClearFake использовал поддельные запросы на обновление браузера, тем самым вводя пользователей в заблуждение и заставляя их загружать вредоносную полезную информацию. Однако с мая 2024 года тактика изменилась:
- Внедрение методов социальной инженерии под названием ClickFix.
- Использование поддельных сообщений об ошибках, предлагающих выполнить вредоносный код PowerShell.
- Разработка стратегий с подделкой проверок с помощью reCAPTCHA или Cloudflare Turnstile.
К декабрю 2024 года ClearFake продолжила эволюцию, теперь используя более сложные механизмы взаимодействия с пользователями, что завершается выполнением вредоносных команд PowerShell.
Создание сети вредоносных программ
ClearFake внедрил технологии EtherHiding, сохраняя запутанный JavaScript в смарт-контрактах на блокчейне Ethereum. Это позволяет загружать различные коды JavaScript, направленные на системную идентификацию и доставку вредоносных программ. Изначально JavaScript, внедрённый на скомпрометированные сайты, получал дополнительные полезные загрузки с сервера управления (C2).
В результате, к октябрю 2023 года фреймворк смог использовать обфусцированный JavaScript для извлечения вредоносной полезной нагрузки, что сигнализирует о переходе к использованию блокчейна в киберпреступлениях.
Опасные тенденции в 2024-2025 годах
С июня 2024 года ClearFake упростила процесс доставки вирусов, установив связь с интеллектуальной сетью Binance, что привело к появлению обманчивых всплывающих окон. Эти окна имитируют оповещения браузера, требующие запуска сценария PowerShell. Данный подход направлен на множество языков и предназначен для различных браузеров, что делает его еще более небезопасным.
К середине декабря 2024 года усовершенствования ClickFix сделали процесс более надежным, при этом внедрялся JavaScript на законные веб-сайты для выполнения последовательностей кода. Основная стратегия заключалась в создании экземпляров объектов web3, что позволяет осуществлять незаконные транзакции.
С февраля 2025 года ClearFake адаптировала свои команды PowerShell для исполнения более сложных задач, включая работу загрузчика Emmenhtal. Используемые методы обфускации и обхода мер безопасности, включая Windows Anti-Malware Scan Interface (AMSI), подтверждают, что ClearFake продолжает представлять собой растущую угрозу.
Таким образом, ClearFake не только проявляет гибкость и адаптивность в своей работе, но и демонстрирует непредсказуемые изменения в стратегии киберугроз, что делает его важной темой для обсуждения в области кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
