Malware ClearFake đã được phát hiện lần đầu vào tháng 7 năm 2023 như một cụm hoạt động tấn công sử dụng các mánh khóe cập nhật trình duyệt giả mạo trên các trang web WordPress bị xâm nhập để phát tán phần mềm độc hại. Tính đến tháng 3 năm 2025, ClearFake đã lây nhiễm khoảng 9.300 trang web và tiếp tục phát triển, với các bản cập nhật hàng ngày cho mã và tải trọng của nó.
Các chiến thuật và kỹ thuật
- Xác thực reCAPTCHA và Cloudflare Turnstile giả: Biến thể mới nhất của ClearFake sử dụng xác thực reCAPTCHA và Cloudflare Turnstile giả mạo để lừa người dùng thực thi các lệnh PowerShell độc hại. Mánh khóe này là một phần của kế hoạch kỹ thuật xã hội ClickFix, khiến người dùng chạy mã PowerShell dưới vỏ bọc giải quyết vấn đề kỹ thuật không tồn tại.
- Kỹ thuật EtherHiding: ClearFake dựa vào kỹ thuật EtherHiding, tận dụng các hợp đồng thông minh trên Binance Smart Chain (BSC) để lưu trữ và truy xuất tải trọng. Điều này khiến chuỗi tấn công trở nên bền vững hơn và khó bị gián đoạn vì các giao dịch blockchain không thể thay đổi.
- Phát tải trọng: Khung làm việc này phát tán nhiều bộ tải phần mềm độc hại khác nhau, bao gồm Emmenhtal Loader (có nhiệm vụ phát tán Lumma Stealer) và Vidar Stealer. Những loader này được thiết kế để đánh cắp thông tin nhạy cảm từ các hệ thống bị nhiễm.
Phân tích kỹ thuật
- Tiêm JavaScript: ClearFake tiêm một đoạn mã JavaScript ngắn vào các trang web bị xâm nhập, thường là các trang web WordPress, để tải và thực thi các đoạn mã bổ sung từ Binance Smart Chain. Đoạn script ban đầu này sử dụng thư viện web3 để tương tác với blockchain, truy xuất các tải trọng giai đoạn tiếp theo bị làm khó hiểu và được lưu trữ trong các hợp đồng thông minh.
- Fingerprinting và giải mã: Mã JavaScript đã tải về xác định đặc điểm hệ thống của nạn nhân và tải xuống, giải mã, sau đó hiển thị các tệp HTML mồi ClickFix, được lưu trữ trên Cloudflare Pages. Mồi ClickFix được thiết kế để khuyến khích người dùng thực thi các lệnh PowerShell độc hại.
Tác động và chỉ số xâm phạm
- Các trang web bị xâm nhập: Ít nhất 9.300 trang web đã bị nhiễm ClearFake, cho thấy mối đe dọa rộng rãi ảnh hưởng đến nhiều người dùng trên toàn cầu. Vào tháng 7 năm 2024, khoảng 200.000 người dùng độc nhất có thể đã bị lừa đảo bởi ClearFake, khuyến khích họ tải xuống phần mềm độc hại.
- Chỉ số xâm phạm (IOC): Mặc dù không có IOC cụ thể nào được liệt kê trong bài viết, nhưng các nhà nghiên cứu Sekoia đã cung cấp IOC để tiêu thụ, bao gồm các URL liên quan đến Cloudflare Pages và tương tác với Binance Smart Chain.
ClearFake đại diện cho một mối đe dọa tinh vi và đang phát triển trong lĩnh vực an ninh mạng, tận dụng công nghệ Web3 và hạ tầng blockchain để tăng cường sự bền bỉ và các kỹ thuật lẩn tránh. Sự phụ thuộc vào xác thực reCAPTCHA giả mạo và Cloudflare Turnstile, kết hợp với kỹ thuật EtherHiding, khiến việc phát hiện và phân loại các hành động này như hoạt động độc hại trở nên khó khăn cho các giải pháp bảo mật đầu cuối. Các bản cập nhật liên tục cho mã và tải trọng của nó nhấn mạnh nhu cầu cải thiện các biện pháp an ninh mạng để bảo vệ khỏi các chiến thuật phát tán phần mềm độc hại tinh vi như vậy.
