Os atores de ameaça por trás da campanha ClearFake estão utilizando falsificações de reCAPTCHA ou Cloudflare Turnstile como iscas para enganar usuários a baixar malwares como Lumma Stealer e Vidar Stealer.
ClearFake, primeira vez destacado em julho de 2023, é o nome dado a um cluster de atividade de ameaça que emprega iscas de atualização falsa de navegador web em WordPress comprometidos como um vetor de distribuição de malware.
A campanha também é conhecida por se apoiar em outra técnica conhecida como EtherHiding para buscar o payload da próxima fase, utilizando os contratos da Smart Chain da Binance (BSC) como uma forma de tornar a cadeia de ataque mais resiliente.
O objetivo final dessas cadeias de infecção é entregar malwares de roubo de informações capazes de atingir sistemas Windows e macOS.
Em maio de 2024, os ataques ClearFake adotaram o que agora passou a ser conhecido como ClickFix, um artifício de engenharia social que envolve enganar usuários para executar código PowerShell malicioso sob o pretexto de resolver um problema técnico inexistente.
"Embora esta nova variante do ClearFake continue a depender da técnica EtherHiding e da tática ClickFix, introduziu interações adicionais com a Binance Smart Chain", disse Sekoia em uma nova análise.
Usando as Interfaces Binárias de Aplicação dos contratos inteligentes, essas interações envolvem carregar múltiplos códigos JavaScript e recursos adicionais que identificam o sistema da vítima, além de baixar, descriptografar e mostrar a isca ClickFix. A última iteração do framework ClearFake marca uma evolução significativa, adotando capacidades Web3 para resistir à análise e criptografar o código HTML relacionado ao ClickFix.
O resultado final é uma sequência de ataque multiestágio atualizada que é iniciada quando uma vítima visita um site comprometido, que então leva à recuperação de um código JavaScript intermediário a partir do BSC.
O JavaScript carregado é subsequentemente responsável por identificar o sistema e buscar o código ClickFix criptografado hospedado em Cloudflare Pages.
Caso a vítima prossiga e execute o comando PowerShell malicioso, isso leva à implantação do Emmenhtal Loader (também conhecido como PEAKLIGHT) que, por sua vez, instala o Lumma Stealer.
Sekoia observou uma cadeia de ataque ClearFake alternativa no final de janeiro de 2025 que servia um loader PowerShell responsável por instalar o Vidar Stealer.
Até o mês passado, pelo menos 9.300 sites foram infectados com ClearFake.
"O operador atualizou consistentemente o código do framework, iscas e payloads distribuídos diariamente", acrescentou.
A execução do ClearFake agora depende de múltiplos pedaços de dados armazenados na Binance Smart Chain, incluindo código JavaScript, chave AES, URLs hospedando arquivos HTML de isca, e comandos PowerShell ClickFix.
O número de sites comprometidos pelo ClearFake sugere que essa ameaça permanece difundida e afeta muitos usuários em todo o mundo.
Em julho de 2024, [...] aproximadamente 200.000 usuários únicos foram potencialmente expostos a iscas ClearFake encorajando-os a baixar malware. O desenvolvimento ocorre ao mesmo tempo em que mais de 100 sites de concessionárias de automóveis foram descobertos comprometidos com iscas ClickFix que levam à implantação do malware SectopRAT.
"Onde essa infecção ocorreu nas concessionárias de automóveis não foi no site próprio da concessionária, mas em um serviço de vídeo terceirizado", disse o pesquisador de segurança Randy McEoin, que detalhou algumas das primeiras campanhas ClearFake em 2023, descrevendo o incidente como um exemplo de um ataque à cadeia de suprimentos.
O serviço de vídeo em questão é o LES Automotive ("idostream[.]com"), que desde então removeu a injeção de JavaScript malicioso do site.
As descobertas também coincidem com a descoberta de várias campanhas de phishing que visam distribuir várias famílias de malware e realizar o harvesting de credenciais:
Usando arquivos de disco rígido virtual (VHD) embutidos dentro de anexos de arquivos de arquivo em mensagens de email para distribuir o Venom RAT por meio de um script do Windows batch
Utilizando anexos de arquivo do Microsoft Excel que exploram uma falha de segurança conhecida (
CVE-2017-0199
) para baixar uma Aplicação HTML (HTA) que, então, usa Visual Basic Script (VBS) para buscar uma imagem, que contém outro payload responsável pela decodificação e lançamento do AsyncRAT e Remcos RAT.
Explorando más configurações na infraestrutura de Microsoft 365 para assumir o controle de inquilinos, criar novas contas administrativas e entregar conteúdo de phishing que contorna proteções de segurança de email e, em última análise, facilita o harvesting de credenciais e takeovers de conta (ATO)
À medida que campanhas de engenharia social continuam a se tornar mais sofisticadas, é essencial que organizações e empresas fiquem à frente da curva e implementem mecanismos robustos de autenticação e controle de acesso contra técnicas de Adversary-in-the-Middle (AitM) e Browser-in-the-Middle (BitM) que permitem aos atacantes sequestrar contas.
"Um benefício fundamental de empregar uma framework BitM está em sua capacidade de mirar rapidamente, permitindo que ela alcance qualquer site na web em questão de segundos e com configuração mínima", disse o Mandiant, de propriedade da Google, em um relatório publicado esta semana.
Uma vez que uma aplicação é visada através de uma ferramenta ou framework BitM, o site legítimo é servido através de um navegador controlado pelo atacante.
Isso torna a distinção entre um site legítimo e um falso excepcionalmente desafiadora para uma vítima.
Do ponto de vista de um adversário, BitM permite uma maneira simples, porém eficaz, de roubar sessões protegidas por MFA.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...