Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Phishing ClearFake-Angriffskampagne

ClearFake-Angriffskampagne

Von Mezo in Phishing, Malware, Tools zur Remoteverwaltung
Übersetzen Sie in:
Deutsch

Die Cyberkriminellen hinter der ClearFake-Kampagne nutzten gefälschte reCAPTCHA- und Cloudflare-Turnstile-Verifizierungen, um ahnungslose Nutzer zum Download von Malware zu verleiten. Diese irreführenden Techniken dienen der Verbreitung von informationsstehlender Malware wie dem Lumma Stealer und dem Vidar Stealer .

Gefälschte Browser-Updates als Malware-Falle

ClearFake wurde erstmals im Juli 2023 entdeckt und ist eine bösartige Kampagne, die sich über kompromittierte WordPress-Websites verbreitet und gefälschte Browser-Update-Aufforderungen nutzt, um Opfer anzulocken. Diese Methode ist eine beliebte Technik für Cyberkriminelle, die Malware effizient einsetzen möchten.

EtherHiding für Tarnung und Persistenz nutzen

Ein zentraler Aspekt der Infektionskette von ClearFake ist EtherHiding, eine Technik, die es Angreifern ermöglicht, die Nutzlast der nächsten Stufe mithilfe der Smart Chain (BSC)-Verträge von Binance abzurufen. Dieser Ansatz erhöht die Widerstandsfähigkeit des Angriffs durch die Nutzung dezentraler Blockchain-Technologie und erschwert so die Erkennung und Beseitigung.

Die Entstehung von ClickFix: Ein Social-Engineering-Trick

Bis Mai 2024 hatte ClearFake ClickFix integriert, einen Social-Engineering-Trick, der Benutzer dazu verleiten soll, bösartigen PowerShell-Code auszuführen, unter dem Vorwand, ein nicht vorhandenes technisches Problem zu beheben. Diese Technik hilft Angreifern, die Kontrolle über das System des Opfers zu erweitern.

Erweiterte Web3-Funktionen in der neuesten Variante von ClearFake

Die neuesten Versionen der ClearFake-Kampagne nutzen weiterhin EtherHiding und ClickFix, weisen jedoch bemerkenswerte Verbesserungen auf. Zu diesen Updates gehören:

  • Bessere Interaktion mit der Binance Smart Chain durch die Verwendung von Application Binary Interfaces (ABIs) für Smart Contracts.
  • Verbessertes Fingerprinting der Systeme der Opfer, Laden mehrerer JavaScript-Codes und Ressourcen.
  • Verschlüsselter ClickFix-HTML-Code, um Sicherheitsanalysen zu umgehen.

Ein mehrstufiger Angriff mit verschlüsselten Nutzdaten

Sobald ein Opfer eine kompromittierte Website besucht, verläuft der Angriff in mehreren Phasen:

  • Abrufen von JavaScript von Binance Smart Chain zum Sammeln von Systeminformationen.
  • Abrufen eines verschlüsselten ClickFix-Skripts von Cloudflare Pages.
  • Ausführung eines bösartigen PowerShell-Befehls, der zur Bereitstellung von Schadsoftware führt.

Wenn das Opfer mit der bösartigen Aktion fortfährt, wird der Emmenhtal Loader (auch bekannt als PEAKLIGHT) ausgeführt, der letztendlich Lumma Stealer auf dem System installiert.

Neue Taktiken: Eine Bedrohung großen Ausmaßes

Bis Januar 2025 beobachteten Sicherheitsforscher neue ClearFake-Angriffsketten, die PowerShell-Loader zur Installation von Vidar Stealer nutzten. Bis zum letzten Monat wurden mindestens 9.300 Websites kompromittiert.

Angreifer aktualisieren das ClearFake-Framework kontinuierlich und modifizieren täglich dessen Köder, Skripte und Payloads. Die Malware speichert nun mehrere Schlüsselelemente in der Binance Smart Chain, darunter:

  • JavaScript-Code
  • AES-Verschlüsselungsschlüssel
  • URLs, die schädliche Köderdateien hosten
  • ClickFix PowerShell-Befehle

Masseninfektionen und weitverbreitete Exposition

Das Ausmaß der ClearFake-Infektionen ist erheblich und betrifft eine große Anzahl von Nutzern weltweit. Im Juli 2024 waren rund 200.000 einzelne Nutzer potenziell ClearFake-Ködern ausgesetzt, die sie zum Download von Malware veranlassten.

ClickFix beeinträchtigt Websites von Autohäusern

Ein wichtiger Angriffsvektor für ClickFix waren Websites von Autohäusern. Über 100 Händler-Websites wurden kompromittiert, wobei die SectopRAT-Malware über ClickFix-Köder verbreitet wurde.

Die Websites der Händler wurden jedoch nicht direkt infiziert. Die Kompromittierung erfolgte vielmehr über einen Videodienst eines Drittanbieters, der unwissentlich die kompromittierte JavaScript-Injektion hostete. Dieser Vorfall scheint ein Angriff auf die Lieferkette zu sein und verdeutlicht die Risiken, die von Schwachstellen in Drittanbieterdiensten ausgehen. Das schädliche Skript wurde inzwischen von der infizierten Website entfernt.

Abschließende Gedanken: Eine anhaltende und wachsende Bedrohung

Die ClearFake-Kampagne entwickelt sich kontinuierlich weiter und nutzt fortschrittliche Blockchain-basierte Techniken, Social Engineering und mehrstufige Infektionsketten. Das Ausmaß ihrer Auswirkungen – Tausende kompromittierte Websites und Hunderttausende potenzielle Opfer – unterstreicht die dringende Notwendigkeit robuster Cybersicherheitsmaßnahmen zum Schutz vor solch komplexen Malware-Bedrohungen.

 

Im Trend

Am häufigsten gesehen

Wird geladen...