На тысячах взломанных веб-сайтов проводится несколько кампаний по созданию вредоносных поддельных обновлений. Судя по всему, эта кампания началась примерно 19 июля 2023 года. Судя по поиску на PublicWWW по инъекции base64, существует по меньшей мере 434 зараженных сайта.
ClearFake название - ссылка на то, что большинство Javascript используется без обфускации.
Одно заметное отличие от SocGholish - отсутствие отслеживания посещений по IP или cookies. Как аналитик, вы можете возвращаться на взломанный сайт снова и снова, заходя с одного и того же IP и не очищая кэш браузера. Это также означает, что владелец сайта с большей вероятностью также увидит заражение.
Когда пользователь заходит на взломанный сайт с ClearFake, страница сначала загружается как обычно, а затем на ней появляется призыв к действию - обновить Chrome.
На индексной странице взломанного сайта присутствует инъекция Javascript. Javascript закодирован в base64. Предположительно, это динамическая инъекция, и со временем она будет меняться, чтобы отразить новый хост для первоначальной полезной нагрузки.
Indicators of Compromise
Domains
- *.brewasigfi1978.workers.dev
- adqdqqewqewplzoqmzq.site
- borbrbmrtxtrbxrq.site
- hello-world-broken-dust-1f1c.brewasigfi1978.workers.dev
- hello-world-hidden-hat-62a9.brewasigfi1978.workers.dev
- komomjinndqndqwf.store
- omdowqind.site
- stats-best.site
- wffewiuofegwumzowefmgwezfzew.site
- wnimodmoiejn.site
URLs
- 45.9.74.182/b7djSDcPcZ/index.php
SHA256
- 10f504133a652d196aa14eb26d55d0b53da16590584696a1f282a95bb3e9c08a