ClearFake恶意软件现在通过虚假Safari更新瞄准iOS用户
八月,网络安全研究员RandyMcEoin发现了一种伪装成软件更新的新型恶意软件。他将其命名为“ClearFake”。ClearFake通过利用被劫持的WordPress网站来欺骗用户,导致他们下载虚假的浏览器更新,然后用恶意软件感染他们的系统。最初,ClearFake专注于Windows系统,利用虚假的Chrome更新部署了一场活动。安全研究人员AnkitAnubhav的最新发现揭示了策略的转变,ClearFake现在通过假冒Safari更新来针对Mac用户,传播iOS恶意软件。
ClearFake使用两种主要方法将有效负载传递到受害者的系统。最初,受感染的网站被重定向到Cloudflare工作主机,从而能够注入恶意JavaScript。安全专家检测到并轻松拆除了这种方法,因为它托管在Cloudflare上。随后,该团队采取了一项新策略,利用区块链的安全优势,特别是币安智能链(BSC)JS库。
第三阶段有效负载的下载是通过从区块链中获取恶意脚本来启动的。利用区块链的去中心化特性,攻击者更有能力逃避攻击。有效负载没有什么不同,它向用户提供虚假的浏览器更新覆盖,从而导致安装恶意可执行文件。
ClearFake使用几乎完全相同地模仿合法Safari和Chrome更新的模板
黑客混淆代码以隐藏其恶意意图并逃避安全措施的检测。通过将代码转换为复杂、错综复杂的结构,它们会减慢分析速度,并使安全工具难以识别和解释其活动。ClearFake最初以其非混淆的JavaScript命名,具有讽刺意味的是,由于其基于区块链的注入方法,ClearFake演变成了一项艰巨的检测挑战。
根据Malwarebytes的一份报告,ClearFake最近的Mac活动分发了一种独特的恶意软件变体AtomicStealer。AtomicStealer为网络犯罪分子提供了一个全面的工具包,可以窃取帐户密码、浏览器数据、会话cookie和加密钱包。恶意软件作者通过专门的Telegram频道分发,提供Web面板访问和基于磁盘映像的安装程序,每月费用为1000美元。
ClearFake的有效负载伪装成合法应用程序的安装程序,伪装成Safari或Chrome更新。下载AtomicStealer后,该恶意软件会模仿另一个Safari更新,提示用户输入管理员密码才能执行命令。
社会工程攻击通常将恶意软件伪装成软件更新或应用程序安装程序。同样,ClearFake使用Safari和Chrome模板,这些模板与Mac和Google使用的模板几乎相同。Mac用户应该警惕这种试图窃取敏感信息的新社会工程攻击。