Devis de remise multi-licences
Données concernant les menaces Hameçonnage Campagne d'attaque ClearFake

Campagne d'attaque ClearFake

Par Mezo en Hameçonnage, Logiciels malveillants, Outils d'administration à distance
Se traduisent par :
Français

Les cybercriminels à l'origine de la campagne ClearFake ont utilisé de fausses vérifications reCAPTCHA et Cloudflare Turnstile pour inciter des utilisateurs peu méfiants à télécharger des logiciels malveillants. Ces techniques trompeuses sont utilisées pour diffuser des logiciels malveillants de vol d'informations tels que Lumma Stealer et Vidar Stealer .

Fausses mises à jour de navigateur : piège à logiciels malveillants

Identifiée pour la première fois en juillet 2023, ClearFake est une campagne malveillante qui se propage via des sites WordPress compromis, utilisant de fausses invites de mise à jour de navigateur web pour attirer les victimes. Cette méthode est une technique privilégiée par les cybercriminels cherchant à déployer efficacement des logiciels malveillants.

Exploiter EtherHiding pour la furtivité et la persistance

Un aspect clé de la chaîne d'infection de ClearFake est l'EtherHiding, une technique permettant aux attaquants d'extraire la charge utile suivante grâce aux contrats Smart Chain (BSC) de Binance. Cette approche renforce la résilience de l'attaque en exploitant la technologie blockchain décentralisée, rendant ainsi la détection et le démantèlement plus difficiles.

L’émergence de ClickFix : une stratégie d’ingénierie sociale

En mai 2024, ClearFake avait intégré ClickFix, une astuce d'ingénierie sociale conçue pour inciter les utilisateurs à exécuter du code PowerShell malveillant sous prétexte de résoudre un problème technique inexistant. Cette technique permet aux attaquants de prendre davantage le contrôle du système de la victime.

Fonctionnalités Web3 avancées dans la dernière variante de ClearFake

Les dernières versions de la campagne ClearFake continuent d'utiliser EtherHiding et ClickFix, mais avec des améliorations notables. Ces mises à jour incluent :

  • Une meilleure interaction avec Binance Smart Chain, en utilisant des interfaces binaires d'application de contrats intelligents (ABI).
  • Empreinte digitale améliorée des systèmes des victimes, chargement de plusieurs codes et ressources JavaScript.
  • Code HTML ClickFix crypté pour échapper à l'analyse de sécurité.

Une attaque en plusieurs étapes avec des charges utiles chiffrées

Une fois qu'une victime visite un site Web compromis, l'attaque se déroule en plusieurs étapes :

  • Récupération de JavaScript depuis Binance Smart Chain pour collecter des informations système.
  • Récupération d'un script ClickFix chiffré à partir de Cloudflare Pages.
  • Exécution d'une commande PowerShell malveillante, conduisant au déploiement d'un logiciel malveillant.

Si la victime poursuit l'action malveillante, le chargeur Emmenhtal (alias PEAKLIGHT) est exécuté, ce qui finit par installer Lumma Stealer sur le système.

Évolution des tactiques : une menace à grande échelle

En janvier 2025, des chercheurs en sécurité ont observé de nouvelles chaînes d'attaque ClearFake utilisant des chargeurs PowerShell pour installer Vidar Stealer. Le mois dernier, au moins 9 300 sites web avaient été compromis.

Les attaquants mettent constamment à jour le framework ClearFake, modifiant quotidiennement ses leurres, ses scripts et ses charges utiles. Le malware stocke désormais plusieurs éléments clés dans la Binance Smart Chain, notamment :

  • Code JavaScript
  • clés de cryptage AES
  • URL hébergeant des fichiers leurres malveillants
  • Commandes PowerShell ClickFix

Infections massives et exposition généralisée

L'ampleur des infections ClearFake est considérable et touche un grand nombre d'utilisateurs dans le monde. En juillet 2024, environ 200 000 utilisateurs uniques ont potentiellement été exposés aux leurres ClearFake, les incitant à télécharger des logiciels malveillants.

ClickFix compromet les sites Web des concessionnaires automobiles

Les sites web de concessionnaires automobiles ont constitué un vecteur d'attaque majeur pour ClickFix. Plus de 100 sites web de concessionnaires ont été compromis par le malware SectopRAT diffusé via des leurres ClickFix.

Cependant, les sites web des concessionnaires n'ont pas été directement infectés. La compromission a eu lieu via un service vidéo tiers qui a hébergé, sans le savoir, l'injection JavaScript compromise. Cet incident semble être une attaque de la chaîne d'approvisionnement, ce qui met en évidence les risques liés aux vulnérabilités des services tiers. Le script malveillant a depuis été supprimé du site infecté.

Réflexions finales : une menace persistante et croissante

La campagne ClearFake continue d'évoluer, exploitant des techniques avancées basées sur la blockchain, l'ingénierie sociale et des chaînes d'infection à plusieurs étapes. L'ampleur de son impact, avec des milliers de sites compromis et des centaines de milliers de victimes potentielles, souligne l'urgence de mettre en place des mesures de cybersécurité robustes pour se défendre contre des menaces malveillantes aussi sophistiquées.

 

Tendance

Variantes du malware Sagerunex

Menace persistante avancée (APT), Portes dérobées
Le célèbre acteur malveillant connu sous le nom de Lotus Panda a été observé en train de lancer des cyberattaques contre les secteurs gouvernementaux, manufacturiers, des télécommunications et des médias aux Philippines, au Vietnam, à Hong Kong et à Taiwan. Ces attaques impliquent des versions mises à jour de la porte dérobée Sagerunex , une souche de malware que Lotus Panda exploite depuis au...

Solvay – Escroquerie par courrier électronique...

Hameçonnage, Courrier indésirable
Le paysage numérique regorge d'opportunités, mais aussi de dangers. Les cybercriminels font évoluer en permanence leurs tactiques, élaborant des stratagèmes sophistiqués qui ciblent aussi bien les entreprises que les particuliers. L'un de ces stratagèmes trompeurs est l'arnaque par e-mail « Solvay - New Business Relationships », une campagne de phishing conçue pour collecter des informations...

Le plus regardé

Chargement...