新型Clearfake变种利用虚假reCAPTCHA诱骗用户传递恶意PowerShell代码

admin 2025年6月7日09:10:40评论3 views字数 1278阅读4分15秒阅读模式

更多全球网络安全资讯尽在邑安全

新型Clearfake变种利用虚假reCAPTCHA诱骗用户传递恶意PowerShell代码

ClearFake 是一个恶意 JavaScript 框架,于 2023 年 7 月首次被发现,它已经随着复杂的新社会工程策略而发展。

该框架最初旨在显示虚假的浏览器更新页面,现已发生重大发展,结合了更先进的欺骗技术,通过受感染的网站传递恶意软件

2024 年 12 月发现的最新变体采用虚假的 reCAPTCHA 或 Cloudflare Turnstile 验证质询来诱骗用户执行恶意 PowerShell 代码。

这代表了与依赖虚假浏览器更新的早期版本相比的重大演变。

Sekoia 分析师发现,这种新变体继续使用“EtherHiding”技术,但引入了与币安智能链的额外交互。

该框架现在部署了多个 JavaScript 代码和资源,这些代码和资源可以在下载、解密和显示欺骗性诱饵之前对受害者的系统进行指纹识别。

当用户访问受感染的网站时,他们会遇到一个初始脚本,该脚本加载 Web3 库并启动与币安智能链的通信。

恶意代码隐藏在智能合约中,由于区块链数据的不可变性,这使得分析更加困难,并且几乎不可能删除。

新型Clearfake变种利用虚假reCAPTCHA诱骗用户传递恶意PowerShell代码

安装流程
感染流程从在受感染的网站上注入 JavaScript 开始,从区块链智能合约中检索恶意代码,最终导致显示虚假的安全挑战。

攻击分析

攻击首先将简短的 JavaScript 代码注入受感染的网站(主要是 WordPress 网站),该代码加载合法依赖项,如 web3、pako 和 crypto-js。
此初始脚本与 0x9179dda8B285040Bf381AABb8a1f4a1b8c37Ed53 等钱包地址的智能合约交互,以检索和执行其他代码段。
恶意软件使用压缩和 base64 编码的数据,这些数据必须在执行前解密。
呈现给用户的 ClickFix 诱饵包括声称可以检测“异常网络流量”的虚假 Cloudflare Turnstile 验证或带有 DNS 错误消息的虚假 reCAPTCHA 质询。
这两个诱饵都指示用户打开 Run 命令 (Win+R) 并执行自动复制到剪贴板的 PowerShell 命令。

新型Clearfake变种利用虚假reCAPTCHA诱骗用户传递恶意PowerShell代码

ClickFix 使用的诱饵
伪造的 reCAPTCHA 要求用户选择汽车的图像,而伪造的 Cloudflare Turnstile 则向用户提供验证挑战,最终导致社会工程尝试。
PowerShell 命令使用远程脚本执行mshta.exe,这些脚本提供有效负载,包括 Emmenhtal Loader,最终是 Lumma Stealer 或 Vidar Stealer。
Sekoia 研究人员指出,ClearFake 基础设施包括 9,300 多个受感染的网站,每天有数千名用户可能接触到这些恶意诱饵。
使用区块链技术进行恶意软件交付代表了一种新出现的威胁,这使得传统的缓解和阻止更具挑战性。

原文来自: cybersecuritynews.com

原文链接: https://cybersecuritynews.com/new-clearfake-variant-leverages-fake-recaptcha/

原文始发于微信公众号(邑安全):新型Clearfake变种利用虚假reCAPTCHA诱骗用户传递恶意PowerShell代码

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月7日09:10:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型Clearfake变种利用虚假reCAPTCHA诱骗用户传递恶意PowerShell代码http://cn-sec.com/archives/3859031.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息