複数ライセンス割引見積
脅威データベース フィッシング ClearFake 攻撃キャンペーン

ClearFake 攻撃キャンペーン

フィッシング, マルウェア, リモート管理ツールMezoまで
翻訳内容:
日本語

ClearFake キャンペーンの背後にいるサイバー脅威アクターは、偽の reCAPTCHA と Cloudflare Turnstile 検証を使用して、何も知らないユーザーを騙してマルウェアをダウンロードさせています。これらの欺瞞的な手法は、 Lumma StealerVidar Stealerなどの情報窃取マルウェアを配布するために使用されています。

マルウェアの罠としての偽のブラウザ更新

ClearFake は、2023 年 7 月に初めて特定された、侵害された WordPress サイトを通じて拡散し、偽の Web ブラウザ更新プロンプトを使用して被害者を誘い込む悪意のあるキャンペーンです。この手法は、マルウェアを効率的に展開しようとするサイバー犯罪者に好まれる手法です。

ステルスと持続性のために EtherHiding を活用する

ClearFake の感染チェーンの重要な側面は、攻撃者が Binance の Smart Chain (BSC) 契約を使用して次の段階のペイロードを取得できるようにする手法である EtherHiding です。このアプローチは、分散型ブロックチェーン技術を活用して攻撃の耐性を高め、検出と削除の取り組みをより困難にします。

ClickFix の出現: ソーシャル エンジニアリングの策略

2024 年 5 月までに、ClearFake は ClickFix を組み込んでいました。これは、存在しない技術的な問題を修正するという偽りの口実でユーザーを騙して悪意のある PowerShell コードを実行させるソーシャル エンジニアリングのトリックです。この手法により、攻撃者は被害者のシステムをさらに制御できるようになります。

ClearFake の最新亜種における高度な Web3 機能

ClearFake キャンペーンの最新版では、引き続き EtherHiding と ClickFix が使用されていますが、注目すべき進歩が見られます。これらの更新には次のものが含まれます。

  • スマート コントラクト アプリケーション バイナリ インターフェイス (ABI) を使用して、Binance Smart Chain とのやり取りを強化します。
  • 被害者のシステムのフィンガープリンティングを強化し、複数の JavaScript コードとリソースを読み込みます。
  • セキュリティ分析を回避するために ClickFix HTML コードを暗号化しました。

暗号化されたペイロードによる多段階攻撃

被害者が侵害された Web サイトにアクセスすると、攻撃はいくつかの段階で展開されます。

  • システム情報を収集するために Binance Smart Chain から JavaScript を取得します。
  • Cloudflare Pages から暗号化された ClickFix スクリプトを取得しています。
  • 悪意のある PowerShell コマンドの実行により、マルウェアが展開されます。

被害者が悪意のあるアクションを続行すると、Emmenhtal Loader (別名 PEAKLIGHT) が実行され、最終的に Lumma Stealer がシステムにインストールされます。

進化する戦術:大規模な脅威

2025 年 1 月までに、セキュリティ研究者は、PowerShell ローダーを使用して Vidar Stealer をインストールする新しい ClearFake 攻撃チェーンを観察しました。先月時点で、少なくとも 9,300 の Web サイトが侵害されています。

攻撃者は ClearFake フレームワークを継続的に更新し、そのルアー、スクリプト、ペイロードを毎日変更しています。マルウェアは現在、Binance Smart Chain 内に次のような複数の重要な要素を保存しています。

  • JavaScript コード
  • AES暗号化キー
  • 悪意のあるルアーファイルをホストする URL
  • ClickFix PowerShell コマンド

集団感染と広範囲にわたる暴露

ClearFake 感染の規模は大きく、世界中の膨大な数のユーザーに影響を与えています。2024 年 7 月には、約 20 万人のユーザーが ClearFake の餌に感染し、マルウェアのダウンロードを促された可能性があります。

ClickFix が自動車ディーラーのウェブサイトを侵害

ClickFix の重要な攻撃ベクトルは自動車販売店の Web サイトです。100 を超える販売店のサイトが侵害され、SectopRAT マルウェアが ClickFix のルアーを介して配信されました。

しかし、ディーラーのウェブサイトは直接感染したわけではなく、第三者のビデオ サービスが知らないうちに侵入された JavaScript インジェクションをホストしていたため、侵入が起こりました。この事件はサプライ チェーン攻撃のようで、第三者サービスの脆弱性がもたらすリスクを浮き彫りにしています。その後、悪意のあるスクリプトは感染したサイトから削除されました。

最終的な考察: 持続的かつ拡大する脅威

ClearFake 攻撃は、高度なブロックチェーン ベースの技術、ソーシャル エンジニアリング、多段階の感染チェーンを活用して進化を続けています。数千のサイトが侵害され、数十万人の潜在的な被害者がいるというその影響の規模は、このような高度なマルウェアの脅威から身を守るための強力なサイバー セキュリティ対策が緊急に必要であることを浮き彫りにしています。

 

トレンド

Sagerunex マルウェアの亜種

高度な持続的脅威 (APT), バックドア
ロータス パンダとして知られる悪名高い脅威アクターが、フィリピン、ベトナム、香港、台湾の政府、製造、通信、メディア部門にサイバー攻撃を仕掛けていることが確認されています。これらの攻撃には、ロータス パンダが少なくとも 2016 年から利用しているマルウェア ストレインであるSagerunexバックドアの更新バージョンが関係しています。APT (Advanced Persistent Threat) グループは、長期持続型コマンド シェルを使用し、マルウェア兵器の新しい亜種を開発しながら、戦術を改良し続けています。 サイバースパイ活動で有名な人物 ロータス・パンダは、ビルバグ、ブロンズ・エ...

Volemist.co.in

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
今日のデジタル環境では、侵入的で信頼できないプログラムに対して警戒を怠らないことが重要です。潜在的に不要なプログラム (PUP) は、従来のマルウェアほど明白に破壊的ではないかもしれませんが、ユーザーのプライバシー、ブラウジング体験、および全体的なシステム パフォーマンスに重大な影響を与える可能性があります。これらの侵入型アプリケーションの多くは、デバイスに侵入するために欺瞞的な戦術を採用し...

Solvay - 新規ビジネス関係メール詐欺

フィッシング, スパム
デジタルの世界にはチャンスが満ち溢れていますが、危険も潜んでいます。サイバー犯罪者は絶えず戦術を進化させ、企業や個人を餌食にする巧妙な計画を練っています。そのような欺瞞的な計画の 1 つが「Solvay - New Business Relationships」メール詐欺です。これは、機密情報や金融資産を収集するために設計されたフィッシング キャンペーンです。この戦術の仕組みを理解し、その警告サインを認識することで、ユーザーが詐欺の被害者になるのを防ぐことができます。 欺瞞的なビジネス調査: Solvay 電子メール詐欺とは何ですか? この戦術は、多国籍化学会社 Solvay SA を装...

最も見られました

Discord 灰色の画面で立ち往生

問題
70,808
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...

「プリンタドライバが利用できません」エラーを修正する方法

問題
63,408
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
58,296
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...