Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Suplantación de identidad (phishing) Campaña de ataque ClearFake

Campaña de ataque ClearFake

Por Mezo en Suplantación de identidad (phishing), Software malicioso, Herramientas de administración remota
Traducir a:
Español

Los cibercriminales responsables de la campaña ClearFake han estado utilizando verificaciones falsas de reCAPTCHA y Cloudflare Turnstile para engañar a usuarios desprevenidos y hacer que descarguen malware. Estas técnicas engañosas se emplean para distribuir malware que roba información, como Lumma Stealer y Vidar Stealer .

Actualizaciones falsas del navegador como trampa para malware

Identificada por primera vez en julio de 2023, ClearFake es una campaña maliciosa que se propaga a través de sitios web de WordPress comprometidos, utilizando avisos falsos de actualización del navegador web para atraer a sus víctimas. Este método ha sido una técnica predilecta de los ciberdelincuentes que buscan distribuir malware eficientemente.

Aprovechar EtherHiding para lograr sigilo y persistencia

Un aspecto clave de la cadena de infección de ClearFake es EtherHiding, una técnica que permite a los atacantes obtener la carga útil de la siguiente etapa mediante los contratos de la Cadena Inteligente de Binance (BSC). Este enfoque mejora la resiliencia del ataque al aprovechar la tecnología blockchain descentralizada, lo que dificulta la detección y el desmantelamiento.

El surgimiento de ClickFix: una estrategia de ingeniería social

Para mayo de 2024, ClearFake había incorporado ClickFix, un truco de ingeniería social diseñado para engañar a los usuarios y lograr que ejecuten código malicioso de PowerShell con el pretexto de solucionar un problema técnico inexistente. Esta técnica permite a los atacantes obtener mayor control sobre el sistema de la víctima.

Capacidades Web3 avanzadas en la última variante de ClearFake

Las últimas versiones de la campaña ClearFake siguen empleando EtherHiding y ClickFix, pero con mejoras notables. Estas actualizaciones incluyen:

  • Mayor interacción con Binance Smart Chain, utilizando interfaces binarias de aplicación (ABIs) de contratos inteligentes.
  • Huellas digitales mejoradas de los sistemas de las víctimas, cargando múltiples códigos y recursos JavaScript.
  • Código HTML ClickFix cifrado para evadir el análisis de seguridad.

Un ataque de múltiples etapas con cargas útiles cifradas

Una vez que una víctima visita un sitio web comprometido, el ataque se desarrolla en varias etapas:

  • Recuperación de JavaScript de Binance Smart Chain para recopilar información del sistema.
  • Obteniendo un script ClickFix encriptado desde Cloudflare Pages.
  • Ejecución de un comando de PowerShell malicioso que conduce a la implementación de malware.

Si la víctima continúa con la acción maliciosa, se ejecuta Emmenhtal Loader (también conocido como PEAKLIGHT), que finalmente instala Lumma Stealer en el sistema.

Tácticas en evolución: una amenaza a gran escala

Para enero de 2025, investigadores de seguridad observaron nuevas cadenas de ataque de ClearFake que utilizaban cargadores de PowerShell para instalar Vidar Stealer. Hasta el mes pasado, al menos 9300 sitios web se habían visto comprometidos.

Los atacantes actualizan continuamente el framework ClearFake, modificando sus señuelos, scripts y cargas útiles a diario. El malware ahora almacena varios elementos clave en Binance Smart Chain, entre ellos:

  • Código JavaScript
  • Claves de cifrado AES
  • URL que albergan archivos señuelo maliciosos
  • Comandos de PowerShell de ClickFix

Infecciones masivas y exposición generalizada

La magnitud de las infecciones de ClearFake es considerable y afecta a un gran número de usuarios en todo el mundo. En julio de 2024, aproximadamente 200.000 usuarios únicos estuvieron potencialmente expuestos a señuelos de ClearFake que los incitaron a descargar malware.

ClickFix compromete sitios web de concesionarios de automóviles

Un vector de ataque importante para ClickFix han sido los sitios web de concesionarios de automóviles. Más de 100 sitios de concesionarios se vieron comprometidos, y el malware SectopRAT se distribuyó mediante señuelos de ClickFix.

Sin embargo, los sitios web de los concesionarios no se infectaron directamente. La vulnerabilidad se produjo a través de un servicio de video de terceros que, sin saberlo, alojó la inyección de JavaScript comprometida. Este incidente parece ser un ataque a la cadena de suministro, lo que pone de relieve los riesgos que representan las vulnerabilidades en servicios de terceros. El script malicioso ya se eliminó del sitio infectado.

Reflexiones finales: Una amenaza persistente y en expansión

La campaña ClearFake continúa evolucionando, aprovechando técnicas avanzadas basadas en blockchain, ingeniería social y cadenas de infección multietapa. La magnitud de su impacto, con miles de sitios web comprometidos y cientos de miles de víctimas potenciales, subraya la urgente necesidad de contar con medidas de ciberseguridad robustas para defenderse de estas sofisticadas amenazas de malware.

 

Tendencias

Variantes del malware Sagerunex

Amenaza persistente avanzada (APT), Puertas traseras
El conocido actor de amenazas conocido como Lotus Panda ha lanzado ciberataques contra sectores gubernamentales, manufactureros, de telecomunicaciones y de medios de comunicación en Filipinas, Vietnam, Hong Kong y Taiwán. Estos ataques involucran versiones actualizadas de la puerta trasera Sagerunex , una cepa de malware que Lotus Panda ha estado aprovechando desde al menos 2016. El grupo APT...

Solvay - Estafas por correo electrónico sobre nuevas...

Suplantación de identidad (phishing), Correo basura
El panorama digital está lleno de oportunidades, pero también de peligros. Los cibercriminales evolucionan constantemente sus tácticas y elaboran sofisticados esquemas que se aprovechan tanto de empresas como de particulares. Uno de esos esquemas engañosos es la estafa por correo electrónico "Solvay - New Business Relationships", una campaña de phishing diseñada para recopilar información...

Mas Visto

Cargando...