2023-12-01 09:38:27

八月，网络安全研究员RandyMcEoin发现了一种伪装成软件更新的新型恶意软件。他将其命名为“ClearFake”。ClearFake通过利用被劫持的WordPress网站来欺骗用户，导致他们下载虚假的浏览器更新，然后用恶意软件感染他们的系统。最初，ClearFake专注于Windows系统，利用虚假的Chrome更新部署了一场活动。安全研究人员AnkitAnubhav的最新发现揭示了策略的转变，ClearFake现在通过假冒Safari更新来针对Mac用户，传播iOS恶意软件。

ClearFake使用两种主要方法将有效负载传递到受害者的系统。最初，受感染的网站被重定向到Cloudflare工作主机，从而能够注入恶意JavaScript。安全专家检测到并轻松拆除了这种方法，因为它托管在Cloudflare上。随后，该团队采取了一项新策略，利用区块链的安全优势，特别是币安智能链(BSC)JS库。

第三阶段有效负载的下载是通过从区块链中获取恶意脚本来启动的。利用区块链的去中心化特性，攻击者更有能力逃避攻击。有效负载没有什么不同，它向用户提供虚假的浏览器更新覆盖，从而导致安装恶意可执行文件。

ClearFake使用几乎完全相同地模仿合法Safari和Chrome更新的模板

黑客混淆代码以隐藏其恶意意图并逃避安全措施的检测。通过将代码转换为复杂、错综复杂的结构，它们会减慢分析速度，并使安全工具难以识别和解释其活动。ClearFake最初以其非混淆的JavaScript命名，具有讽刺意味的是，由于其基于区块链的注入方法，ClearFake演变成了一项艰巨的检测挑战。

根据Malwarebytes的一份报告，ClearFake最近的Mac活动分发了一种独特的恶意软件变体AtomicStealer。AtomicStealer为网络犯罪分子提供了一个全面的工具包，可以窃取帐户密码、浏览器数据、会话cookie和加密钱包。恶意软件作者通过专门的Telegram频道分发，提供Web面板访问和基于磁盘映像的安装程序，每月费用为1000美元。

ClearFake的有效负载伪装成合法应用程序的安装程序，伪装成Safari或Chrome更新。下载AtomicStealer后，该恶意软件会模仿另一个Safari更新，提示用户输入管理员密码才能执行命令。

社会工程攻击通常将恶意软件伪装成软件更新或应用程序安装程序。同样，ClearFake使用Safari和Chrome模板，这些模板与Mac和Google使用的模板几乎相同。Mac用户应该警惕这种试图窃取敏感信息的新社会工程攻击。