Istraživači su podijelili detalje o novoj prijetnji lažnog ažuriranja pretraživača koja je koristila novi malver pod nazivom ClearFake za isporuku zlonamjernog sadržaja na uređaje žrtava. Malver je sličan SocGholish i FakeSG kampanjama koje koriste taktiku društvenog inženjeringa da prevare korisnike kako bi instalirali lažno ažuriranje web preglednika.
Modus operandi
Operateri koji stoje iza ClearFakea koriste watering hole tehniku za ubrizgavanje malicioznog JavaScript koda u kompromitovane WordPress stranice.
- Kao dio taktike, web promet se prvo preusmjerava na Keitaro TDS filtering service prije nego što se namami na lažne stranice za ažuriranje pretraživača.
- Lažne stranice za ažuriranje izgledaju realno i kopiraju stranice za preuzimanje za Chrome, Edge i Microsoft.
- Jednom kada žrtva klikne na dugme za ažuriranje, preuzima sadržaje koji se nalaze na Dropbox-u i OneDrive-u.
Treba napomenuti da su SocGholish operateri uspješno iskoristili ovu tehniku 2022. godine, što ukazuje da ista grupa hakera vjerovatno stoji iza novog malvera ClearFake.
Promjena metode ubrizgavanja koda
Krajem septembra, ClearFake je promijenio taktiku ubrizgavanja koda. Ranije je ubačeni kod bio base64 kodirana skripta dodana u HTML kompromitovanih web stranica, a nedavno je primijećeno da se oslanja na pametne ugovore iz Binance Smart Chain-a.
Pogled na okruženje lažnog ažuriranja pretraživača
Proofpoint je pratio najmanje četiri različita klastera prijetnji koristeći lažna ažuriranja pretraživača za distribuciju malvera. Jedna od ovih prijetnji povezana je s kampanjom ClearFake.
- Još jedna kampanja napada povezana je sa malverom SocGholish koji se koristio više od pet godina za isporuku AsyncRAT i NetSupport, između ostalog.
- Štaviše, FakeSG kampanja je korišćena za NetSupport RAT na sistemima žrtava.
- Još jedna grupa lažnih kampanja ažuriranja primećena je u junu, sa pojavom SmartApeSG-a koji je preuzeo NetSupport RAT na kompromitovanim sistemima.
Zaključak
Kako lažna ažuriranja pretraživača ostaju održiva metoda za isporuku malvera, organizacije moraju aktivno pratiti svoje krajnje tačke i mreže kako bi blokirale takve prijetnje. Nadalje, IOC-i povezani sa prijetnjom su stavljeni na raspolaganje kako bi se bolje razumijela infrastruktura napadača, obrazac napada i njihove aktivnosti.
Izvor: Cyware Alerts – Hacker News