ClearFake: поддельные капчи и блокчейн стали оружием хакеров

Кампания ClearFake, впервые обнаруженная в середине 2023 года, представляет собой масштабную схему распространения вредоносного программного обеспечения. Злоумышленники компрометируют легитимные сайты, часто на платформе WordPress, используя методы SEO-отравления для попадания в топ выдачи поисковых систем. Посетителям такого сайта показывается поддельная капча (CAPTCHA), взаимодействие с которой запускает выполнение malicious (вредоносного) кода. Обычно это приводит к загрузке и установке фальшивых обновлений браузера.

Традиционно для выполнения скриптов атакующие злоупотребляли легитимной утилитой Microsoft HTML Application Host (mshta.exe). Однако Darktrace зафиксировала новый этап развития атаки, получивший название EtherHiding. Теперь для получения конфигурационного кода и payload (полезной нагрузки) злоумышленники используют инфраструктуру блокчейна, в частности смарт-контракты в сети BNB Smart Chain.

В расследованном инциденте от 18 ноября 2025 года система Darktrace / ENDPOINT обнаружила на одном устройстве подозрительную активность, связанную с mshta.exe. Утилита пыталась подключиться к домену weiss.neighb0rrol1[.]ru, который источники открытой разведки (OSINT) классифицировали как зловредный и сгенерированный алгоритмически (DGA). Целью было выполнение HTA-файла для запуска следующей стадии атаки.

Параллельно был зафиксирован запрос к легитимному эндпоинту BNB Smart Chain - bsc-testnet.drpc[.]org. Анализ показал, что запрос инициировал скрипт, внедренный на скомпрометированный сайт www.allstarsuae[.]com. Этот скрипт, используя технологию EtherHiding, извлекал из блокчейна строку ABI для загрузки и выполнения смарт-контракта. В конечном счете, цепочка действий была направлена на получение вредоносной полезной нагрузки с хостинга GitHub, которая, к счастью, на момент анализа была недоступна.

Ключевой особенностью данного случая стало срабатывание функции Autonomous Response (Автономного реагирования) Darktrace. Система автоматически заблокировала подозрительные исходящие соединения с устройства, включая доступ к доменам neighb0rrol1[.]ru и связанным IP-адресам. Кроме того, были пресечены попытки mshta.exe выполнить HTA-файлы по протоколу HTTPS. Это предотвратило потенциальную доставку финального payload, которым, вероятно, должен был стать информационный вор (information stealer), такой как Lumma Stealer.

Эксперты подчеркивают, что использование блокчейна предоставляет киберпреступникам серьезные преимущества. Децентрализованная и анонимная природа технологии затрудняет отслеживание инфраструктуры и ее ликвидацию. Угроза ClearFake остается актуальной для множества секторов, включая электронную коммерцию, туризм и автомобильную промышленность.

Успешное отражение этой атаки демонстрирует важность раннего обнаружения и автоматического реагирования. Поскольку конечной целью ClearFake часто является кража учетных данных и данных, критически важно прервать цепочку взлома до момента установки вредоносного ПО. Пользователям рекомендуется проявлять бдительность к подозрительным всплывающим окнам с капчей и необычной активности процессов mshta.exe. Мониторинг сетевых соединений с доменами, имитирующими легитимные блокчейн-эндпоинты, также становится необходимой мерой безопасности.

IPv4

• 188.114.96.6

Domains

• *.neighb0rrol1.ru
• weiss.neighb0rrol1.ru