Các tác nhân đe dọa đằng sau chiến dịch ClearFake đang sử dụng các xác minh reCAPTCHA hoặc Cloudflare Turnstile giả mạo làm mồi nhử để lừa người dùng tải xuống phần mềm độc hại như Lumma Stealer và Vidar Stealer.

ClearFake, lần đầu tiên được nêu rõ vào tháng 7 năm 2023, là tên được đặt cho một cụm hoạt động đe dọa sử dụng các mồi nhử cập nhật trình duyệt web giả mạo trên các trang WordPress bị xâm nhập làm phương tiện phân phối phần mềm độc hại. Chiến dịch này còn được biết đến với việc dựa vào một kỹ thuật khác gọi là EtherHiding để lấy payload giai đoạn tiếp theo bằng cách sử dụng các hợp đồng của Binance Smart Chain (BSC) như một cách để làm cho chuỗi tấn công kiên cường hơn. Mục tiêu cuối cùng của các chuỗi lây nhiễm này là phân phối phần mềm độc hại đánh cắp thông tin có khả năng nhắm mục tiêu cả hệ thống Windows và macOS.

Tính đến tháng 5 năm 2024, các cuộc tấn công ClearFake đã áp dụng cái mà giờ đây được gọi là ClickFix, một thủ đoạn kỹ nghệ xã hội liên quan đến việc lừa người dùng chạy mã PowerShell độc hại dưới vỏ bọc giải quyết một sự cố kỹ thuật không tồn tại. “Mặc dù biến thể ClearFake mới này vẫn tiếp tục dựa vào kỹ thuật EtherHiding và chiến thuật ClickFix, nhưng nó đã giới thiệu thêm các tương tác với Binance Smart Chain,” Sekoia cho biết trong một phân tích mới. “Bằng cách sử dụng Giao diện Nhị phân Ứng dụng của hợp đồng thông minh, các tương tác này bao gồm việc tải nhiều mã JavaScript và các tài nguyên bổ sung để lấy dấu vân tay hệ thống của nạn nhân, cũng như tải xuống, giải mã và hiển thị mồi nhử ClickFix”.

Phiên bản mới nhất của khung ClearFake đánh dấu một sự phát triển đáng kể, áp dụng các khả năng Web3 để chống lại việc phân tích và mã hóa mã HTML liên quan đến ClickFix. Kết quả cuối cùng là một chuỗi tấn công nhiều giai đoạn được cập nhật, bắt đầu khi nạn nhân truy cập một trang web bị xâm nhập, sau đó dẫn đến việc truy xuất mã JavaScript trung gian từ BSC. JavaScript được tải sau đó chịu trách nhiệm lấy dấu vân tay hệ thống và tìm nạp mã ClickFix đã được mã hóa được lưu trữ trên Cloudflare Pages.

Nếu nạn nhân làm theo và thực thi lệnh PowerShell độc hại, nó sẽ dẫn đến việc triển khai Emmenhtal Loader (hay còn gọi là PEAKLIGHT), sau đó thả Lumma Stealer. Sekoia cho biết họ đã quan sát thấy một chuỗi tấn công ClearFake thay thế vào cuối tháng 1 năm 2025, đã phân phối một trình tải PowerShell chịu trách nhiệm cài đặt Vidar Stealer. Tính đến tháng trước, ít nhất 9.300 trang web đã bị nhiễm ClearFake. “Nhà điều hành đã liên tục cập nhật mã khung, mồi nhử và các payload được phân phối hàng ngày,” họ cho biết thêm. “Việc thực thi ClearFake hiện dựa trên nhiều phần dữ liệu được lưu trữ trong Binance Smart Chain, bao gồm mã JavaScript, khóa AES, URL lưu trữ các tệp HTML mồi nhử và các lệnh PowerShell ClickFix”.

“Số lượng trang web bị xâm nhập bởi ClearFake cho thấy mối đe dọa này vẫn lan rộng và ảnh hưởng đến nhiều người dùng trên toàn thế giới. Vào tháng 7 năm 2024, […] khoảng 200.000 người dùng duy nhất có khả năng đã tiếp xúc với các mồi nhử ClearFake khuyến khích họ tải xuống phần mềm độc hại”. Sự phát triển này xảy ra khi hơn 100 trang web của các đại lý ô tô đã bị phát hiện bị xâm nhập bởi các mồi nhử ClickFix dẫn đến việc triển khai phần mềm độc hại SectopRAT. “Việc lây nhiễm này trên các trang web của đại lý ô tô không xảy ra trên trang web của chính đại lý mà trên một dịch vụ video của bên thứ ba,” nhà nghiên cứu bảo mật Randy McEoin, người đã mô tả một số chiến dịch ClearFake sớm nhất vào năm 2023, cho biết, mô tả vụ việc này là một trường hợp tấn công chuỗi cung ứng.

Dịch vụ video được đề cập là LES Automotive (“idostream[.]com”), dịch vụ này đã gỡ bỏ đoạn mã JavaScript độc hại khỏi trang web. Những phát hiện này cũng trùng hợp với việc phát hiện ra một số chiến dịch lừa đảo được thiết kế để phát tán nhiều họ phần mềm độc hại khác nhau và thu thập thông tin đăng nhập :

•

Sử dụng các tệp đĩa cứng ảo (VHD) được nhúng trong các tệp đính kèm dạng lưu trữ trong email để phân phối Venom RAT thông qua một tập lệnh batch của Windows

•

Sử dụng các tệp đính kèm Microsoft Excel khai thác một lỗ hổng bảo mật đã biết (CVE-2017-0199) để tải xuống một Ứng dụng HTML (HTA), sau đó sử dụng Visual Basic Script (VBS) để tìm nạp một hình ảnh, chứa một payload khác chịu trách nhiệm giải mã và khởi chạy AsyncRAT và Remcos RAT

•

Khai thác các cấu hình sai trong cơ sở hạ tầng Microsoft 365 để giành quyền kiểm soát các đối tượng thuê, tạo tài khoản quản trị mới và phân phối nội dung lừa đảo vượt qua các biện pháp bảo vệ email và cuối cùng tạo điều kiện cho việc thu thập thông tin đăng nhập và chiếm đoạt tài khoản (ATO)

Khi các chiến dịch kỹ nghệ xã hội ngày càng trở nên tinh vi hơn, điều cần thiết là các tổ chức và doanh nghiệp phải đi trước đón đầu và triển khai các cơ chế xác thực và kiểm soát truy cập mạnh mẽ chống lại các kỹ thuật Adversary-in-the-Middle (AitM) và Browser-in-the-Middle (BitM) cho phép kẻ tấn công chiếm đoạt tài khoản. “Một lợi ích then chốt của việc sử dụng khung BitM nằm ở khả năng nhắm mục tiêu nhanh chóng, cho phép nó tiếp cận bất kỳ trang web nào trên web chỉ trong vài giây và với cấu hình tối thiểu,” Mandiant thuộc sở hữu của Google cho biết trong một báo cáo được công bố trong tuần này.

“Khi một ứng dụng bị nhắm mục tiêu thông qua một công cụ hoặc khung BitM, trang web hợp pháp sẽ được phục vụ thông qua một trình duyệt do kẻ tấn công kiểm soát. Điều này khiến việc phân biệt giữa một trang web hợp pháp và một trang web giả mạo trở nên cực kỳ khó khăn đối với nạn nhân. Từ góc độ của kẻ tấn công, BitM cho phép một phương tiện đơn giản nhưng hiệu quả để đánh cắp các phiên được bảo vệ bằng MFA”

Security365