Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Teknologi
  • ClearFake Infeksi 9.300 Situs Web
  • Sektor Bisnis
  • Teknologi

ClearFake Infeksi 9.300 Situs Web

4 min read
ClearFake Infeksi 9.300 Situs Web

image credit: Pixabay.com

Dua tahun Clearfake infeksi 9.300 Situs Web secara diam-diam dan membuat kegemparan begitu aksinya berhasil dibongkar.

Pelaku di balik operasi siber ClearFake menggunakan verifikasi reCAPTCHA atau Cloudflare Turnstile palsu sebagai umpan untuk mengelabui pengguna agar mengunduh malware seperti Lumma Stealer dan Vidar Stealer.

ClearFake, pertama kali disorot pada Juli 2023, adalah nama yang diberikan untuk klaster aktivitas ancaman yang menggunakan umpan pembaruan peramban web palsu pada WordPress yang disusupi sebagai vektor distribusi malware.

Operasi ini juga dikenal mengandalkan teknik lain yang dikenal sebagai EtherHiding untuk mengambil muatan tahap berikutnya dengan memanfaatkan kontrak Binance Smart Chain (BSC) sebagai cara untuk membuat rantai serangan lebih tangguh. Tujuan akhir dari rantai infeksi ini adalah untuk mengirimkan malware pencuri informasi yang mampu menargetkan sistem Windows dan macOS.

Baca juga: Lumma Stealer Racuni Windows dan macOS

ClearFake dan ClickFix

Pada Mei 2024, serangan ClearFake telah mengadopsi apa yang sekarang dikenal sebagai ClickFix, taktik rekayasa sosial yang melibatkan penipuan pengguna agar menjalankan kode PowerShell berbahaya dengan kedok mengatasi masalah teknis yang tidak ada.

Meskipun varian ClearFake baru ini terus mengandalkan teknik EtherHiding dan taktik ClickFix, ia telah memperkenalkan interaksi tambahan dengan Binance Smart Chain.

Dengan menggunakan Antarmuka Biner Aplikasi kontrak pintar, interaksi ini melibatkan pemuatan beberapa kode JavaScript dan sumber daya tambahan yang membuat sidik jari sistem korban, serta mengunduh, mendekripsi, dan menampilkan umpan ClickFix.

Iterasi terbaru dari kerangka ClearFake menandai evolusi yang signifikan, mengadopsi kemampuan Web3 untuk menahan analisis dan mengenkripsi kode HTML terkait ClickFix.

Hasil akhirnya adalah urutan serangan multi-tahap yang diperbarui yang dimulai saat korban mengunjungi situs yang disusupi yang kemudian mengarah pada pengambilan kode JavaScript perantara dari BSC. JavaScript yang dimuat selanjutnya bertanggung jawab untuk membuat sidik jari sistem dan mengambil kode ClickFix terenkripsi yang dihosting di Halaman Cloudflare.

Jika korban mengikuti dan menjalankan perintah PowerShell yang berbahaya, hal itu akan menyebabkan penyebaran Emmenhtal Loader (alias PEAKLIGHT) yang kemudian menjatuhkan Lumma Stealer.

Baca juga: Malware Atomic Stealer Serang macOS

Korban ClearFake

Dari hasil pengematan rantai serangan ClearFake alternatif pada akhir Januari 2025 yang menjalankan loader PowerShell yang bertanggung jawab untuk menginstal Vidar Stealer. Hingga bulan lalu, setidaknya 9.300 situs web telah terinfeksi ClearFake.

Operator telah secara konsisten memperbarui kode kerangka kerja, umpan, dan muatan terdistribusi setiap hari.

Eksekusi ClearFake sekarang bergantung pada beberapa bagian data yang disimpan di Binance Smart Chain, termasuk:

  • Kode JavaScript.
  • Kunci AES.
  • URL yang menghosting file HTML umpan.
  • Perintah ClickFix PowerShell.

Jumlah website yang disusupi oleh ClearFake menunjukkan bahwa ancaman ini masih tersebar luas dan memengaruhi banyak pengguna di seluruh dunia.

Pada Juli 2024 sekitar 200.000 pengguna unik berpotensi terpapar umpan ClearFake yang mendorong mereka untuk mengunduh malware.

Perkembangan ini terjadi setelah lebih dari 100 situs dealer mobil ditemukan telah disusupi dengan umpan ClickFix yang menyebabkan penyebaran malware SectopRAT.

Infeksi pada dealer mobil ini terjadi bukan pada situs web dealer itu sendiri, tetapi pada layanan video pihak ketiga, yang merinci beberapa operasi ClearFake paling awal pada tahun 2023, yang menggambarkan insiden tersebut sebagai contoh serangan rantai pasokan.

Layanan video yang dimaksud adalah LES Automotive (“idostream[.]com”), yang telah menghapus injeksi JavaScript berbahaya dari situs tersebut.

Baca juga: Meta Stealer Curi Informasi macOS

Temuan Operasi Phising

Temuan tersebut juga bertepatan dengan penemuan beberapa operasi phising yang direkayasa untuk menyebarkan berbagai keluarga malware dan melakukan pengumpulan kredensial, sebagai berikut:

  • Menggunakan file hard disk virtual (VHD) yang disematkan dalam lampiran file arsip dalam pesan email untuk mendistribusikan Venom RAT melalui skrip batch Windows
  • Menggunakan lampiran file Microsoft Excel yang mengeksploitasi kelemahan keamanan yang diketahui (CVE-2017-0199) untuk mengunduh Aplikasi HTML (HTA) yang kemudian menggunakan Visual Basic Script (VBS) untuk mengambil gambar, yang berisi muatan lain yang bertanggung jawab untuk mendekode dan meluncurkan AsyncRAT dan Remcos RAT
  • Mengeksploitasi kesalahan konfigurasi dalam infrastruktur Microsoft 365 untuk mengendalikan penyewa, membuat akun administratif baru, dan mengirimkan konten phising yang melewati perlindungan keamanan email dan pada akhirnya memfasilitasi pengumpulan kredensial dan pengambilalihan akun (ATO)

Karena operasi rekayasa sosial terus menjadi lebih canggih, penting bagi organisasi dan bisnis untuk tetap menjadi yang terdepan dan menerapkan mekanisme autentikasi dan kontrol akses yang kuat terhadap teknik Adversary-in-the-Middle (AitM) dan Browser-in-the-Middle (BitM) yang memungkinkan penyerang membajak akun.

Manfaat utama dari penggunaan kerangka kerja BitM terletak pada kemampuan penargetannya yang cepat, yang memungkinkannya menjangkau situs web mana pun di web dalam hitungan detik dan dengan konfigurasi minimal.

Setelah aplikasi ditargetkan melalui alat atau kerangka kerja BitM, situs yang sah disajikan melalui browser yang dikendalikan penyerang. Hal ini membuat perbedaan antara situs yang sah dan palsu menjadi sangat menantang bagi korban. Dari perspektif penyerang, BitM memungkinkan cara yang sederhana namun efektif untuk mencuri sesi yang dilindungi oleh MFA.

 

 

 

Baca artikel lainnya:

  • Umbral Stealer Malware Tipe Pencuri
  • Mystic Stealer Favorit Hacker
  • Infostealer Pencuri Facebook
  • Infostealer Malware Pencuri Info yang Sedang Naik Daun
  • Trik Menggigit ClickFix
  • Operasi Besar Malware di 2025
  • Aplikasi Konferensi Video Pencuri Informasi
  • Bisnis Pencurian Infomasi
  • Malware Mengunci Browser Curi Kredensial
  • Membangun Pertahanan Siber Masa Depan

 

 

Sumber berita:

 

WeLiveSecurity

 

Continue Reading

Previous: Hati-hati Ada Adware Pencuri Kredensial
Next: Video YouTube Promosikan Cheat Game dan Menyebarkan Stealer

Related Stories

Mengelola dan Melindungi Jejak Digital Mengelola dan Melindungi Jejak Digital
3 min read
  • Teknologi

Mengelola dan Melindungi Jejak Digital

May 28, 2025
Lindungi Data dengan Enkripsi Seperti Perusahaan Besar Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
4 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Lindungi Data dengan Enkripsi Seperti Perusahaan Besar

May 28, 2025
Mencegah Bisnis menjadi Korban Serangan Phising Mencegah Bisnis menjadi Korban Serangan Phising
3 min read
  • Teknologi

Mencegah Bisnis menjadi Korban Serangan Phising

May 28, 2025

Recent Posts

  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising
  • Dari ClickFix ke Video TikTok Palsu
  • Riset ESET: Asia Dominasi Serangan Siber
  • Waspada Aplikasi Ledger Palsu Mengincar Pengguna macOS
  • ESET Gabung Operasi Endgame Lumpuhkan Danabot
  • Panggilan Palsu Senjata Baru Pencurian Data
  • Serangan Phising yang Jarang Diketahui
  • ESET Gabung Operasi Global Lumpuhkan Lumma Stealer

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Mengelola dan Melindungi Jejak Digital Mengelola dan Melindungi Jejak Digital
3 min read
  • Teknologi

Mengelola dan Melindungi Jejak Digital

May 28, 2025
Lindungi Data dengan Enkripsi Seperti Perusahaan Besar Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
4 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Lindungi Data dengan Enkripsi Seperti Perusahaan Besar

May 28, 2025
Mencegah Bisnis menjadi Korban Serangan Phising Mencegah Bisnis menjadi Korban Serangan Phising
3 min read
  • Teknologi

Mencegah Bisnis menjadi Korban Serangan Phising

May 28, 2025
Dari ClickFix ke Video TikTok Palsu Dari ClickFix ke Video TikTok Palsu
3 min read
  • Teknologi

Dari ClickFix ke Video TikTok Palsu

May 27, 2025

Copyright © All rights reserved. | DarkNews by AF themes.