image credit: Pixabay.com
Dua tahun Clearfake infeksi 9.300 Situs Web secara diam-diam dan membuat kegemparan begitu aksinya berhasil dibongkar.
Pelaku di balik operasi siber ClearFake menggunakan verifikasi reCAPTCHA atau Cloudflare Turnstile palsu sebagai umpan untuk mengelabui pengguna agar mengunduh malware seperti Lumma Stealer dan Vidar Stealer.
ClearFake, pertama kali disorot pada Juli 2023, adalah nama yang diberikan untuk klaster aktivitas ancaman yang menggunakan umpan pembaruan peramban web palsu pada WordPress yang disusupi sebagai vektor distribusi malware.
Operasi ini juga dikenal mengandalkan teknik lain yang dikenal sebagai EtherHiding untuk mengambil muatan tahap berikutnya dengan memanfaatkan kontrak Binance Smart Chain (BSC) sebagai cara untuk membuat rantai serangan lebih tangguh. Tujuan akhir dari rantai infeksi ini adalah untuk mengirimkan malware pencuri informasi yang mampu menargetkan sistem Windows dan macOS.
|
Baca juga: Lumma Stealer Racuni Windows dan macOS |
ClearFake dan ClickFix
Pada Mei 2024, serangan ClearFake telah mengadopsi apa yang sekarang dikenal sebagai ClickFix, taktik rekayasa sosial yang melibatkan penipuan pengguna agar menjalankan kode PowerShell berbahaya dengan kedok mengatasi masalah teknis yang tidak ada.
Meskipun varian ClearFake baru ini terus mengandalkan teknik EtherHiding dan taktik ClickFix, ia telah memperkenalkan interaksi tambahan dengan Binance Smart Chain.
Dengan menggunakan Antarmuka Biner Aplikasi kontrak pintar, interaksi ini melibatkan pemuatan beberapa kode JavaScript dan sumber daya tambahan yang membuat sidik jari sistem korban, serta mengunduh, mendekripsi, dan menampilkan umpan ClickFix.
Iterasi terbaru dari kerangka ClearFake menandai evolusi yang signifikan, mengadopsi kemampuan Web3 untuk menahan analisis dan mengenkripsi kode HTML terkait ClickFix.
Hasil akhirnya adalah urutan serangan multi-tahap yang diperbarui yang dimulai saat korban mengunjungi situs yang disusupi yang kemudian mengarah pada pengambilan kode JavaScript perantara dari BSC. JavaScript yang dimuat selanjutnya bertanggung jawab untuk membuat sidik jari sistem dan mengambil kode ClickFix terenkripsi yang dihosting di Halaman Cloudflare.
Jika korban mengikuti dan menjalankan perintah PowerShell yang berbahaya, hal itu akan menyebabkan penyebaran Emmenhtal Loader (alias PEAKLIGHT) yang kemudian menjatuhkan Lumma Stealer.
|
Baca juga: Malware Atomic Stealer Serang macOS |
Korban ClearFake
Dari hasil pengematan rantai serangan ClearFake alternatif pada akhir Januari 2025 yang menjalankan loader PowerShell yang bertanggung jawab untuk menginstal Vidar Stealer. Hingga bulan lalu, setidaknya 9.300 situs web telah terinfeksi ClearFake.
Operator telah secara konsisten memperbarui kode kerangka kerja, umpan, dan muatan terdistribusi setiap hari.
Eksekusi ClearFake sekarang bergantung pada beberapa bagian data yang disimpan di Binance Smart Chain, termasuk:
- Kode JavaScript.
- Kunci AES.
- URL yang menghosting file HTML umpan.
- Perintah ClickFix PowerShell.
Jumlah website yang disusupi oleh ClearFake menunjukkan bahwa ancaman ini masih tersebar luas dan memengaruhi banyak pengguna di seluruh dunia.
Pada Juli 2024 sekitar 200.000 pengguna unik berpotensi terpapar umpan ClearFake yang mendorong mereka untuk mengunduh malware.
Perkembangan ini terjadi setelah lebih dari 100 situs dealer mobil ditemukan telah disusupi dengan umpan ClickFix yang menyebabkan penyebaran malware SectopRAT.
Infeksi pada dealer mobil ini terjadi bukan pada situs web dealer itu sendiri, tetapi pada layanan video pihak ketiga, yang merinci beberapa operasi ClearFake paling awal pada tahun 2023, yang menggambarkan insiden tersebut sebagai contoh serangan rantai pasokan.
Layanan video yang dimaksud adalah LES Automotive (“idostream[.]com”), yang telah menghapus injeksi JavaScript berbahaya dari situs tersebut.
|
Baca juga: Meta Stealer Curi Informasi macOS |
Temuan Operasi Phising
Temuan tersebut juga bertepatan dengan penemuan beberapa operasi phising yang direkayasa untuk menyebarkan berbagai keluarga malware dan melakukan pengumpulan kredensial, sebagai berikut:
- Menggunakan file hard disk virtual (VHD) yang disematkan dalam lampiran file arsip dalam pesan email untuk mendistribusikan Venom RAT melalui skrip batch Windows
- Menggunakan lampiran file Microsoft Excel yang mengeksploitasi kelemahan keamanan yang diketahui (CVE-2017-0199) untuk mengunduh Aplikasi HTML (HTA) yang kemudian menggunakan Visual Basic Script (VBS) untuk mengambil gambar, yang berisi muatan lain yang bertanggung jawab untuk mendekode dan meluncurkan AsyncRAT dan Remcos RAT
- Mengeksploitasi kesalahan konfigurasi dalam infrastruktur Microsoft 365 untuk mengendalikan penyewa, membuat akun administratif baru, dan mengirimkan konten phising yang melewati perlindungan keamanan email dan pada akhirnya memfasilitasi pengumpulan kredensial dan pengambilalihan akun (ATO)
Karena operasi rekayasa sosial terus menjadi lebih canggih, penting bagi organisasi dan bisnis untuk tetap menjadi yang terdepan dan menerapkan mekanisme autentikasi dan kontrol akses yang kuat terhadap teknik Adversary-in-the-Middle (AitM) dan Browser-in-the-Middle (BitM) yang memungkinkan penyerang membajak akun.
Manfaat utama dari penggunaan kerangka kerja BitM terletak pada kemampuan penargetannya yang cepat, yang memungkinkannya menjangkau situs web mana pun di web dalam hitungan detik dan dengan konfigurasi minimal.
Setelah aplikasi ditargetkan melalui alat atau kerangka kerja BitM, situs yang sah disajikan melalui browser yang dikendalikan penyerang. Hal ini membuat perbedaan antara situs yang sah dan palsu menjadi sangat menantang bagi korban. Dari perspektif penyerang, BitM memungkinkan cara yang sederhana namun efektif untuk mencuri sesi yang dilindungi oleh MFA.
Sumber berita:
