ClearFake - это вредоносный JavaScript-фреймворк, который используется для доставки вредоносного ПО на скомпрометированные веб-сайты. Вначале фреймворк обманывает пользователей, отображая фальшивую страницу загрузки обновлений веб-браузера. Затем он применяет тактику социальной инженерии ClickFix, показывая фальшивые сообщения об ошибках и заставляя пользователей выполнить вредоносный код PowerShell.
ClearFake
Согласно отчету команды Sekoia Threat Detection & Research (TDR), с декабря 2024 года в ClearFake появились новые приманки. Теперь фреймворк использует поддельные проверки reCAPTCHA или Cloudflare Turnstile, чтобы обмануть пользователей и заставить их выполнить вредоносный код PowerShell.
В новой версии ClearFake также усовершенствованы возможности взаимодействия со смарт-цепочкой Binance. С помощью бинарных интерфейсов смарт-контракта фреймворк загружает JavaScript-коды и дополнительные ресурсы, создавая отпечатки пальцев на системе жертвы и показывая приманку ClickFix.
Indicators of Compromise
URLs
- http://80.64.30.238/evix.xll
- http://80.64.30.238/trip.psd
- http://83.217.208.130/xfiles/Ohio.mp4
- http://83.217.208.130/xfiles/trip.mp4
- http://83.217.208.130/xfiles/trip.psd
- http://83.217.208.130/xfiles/VIDA.mp3
- http://83.217.208.130/xfiles/VIDA.mp4
- https://1a-a1.pages.dev/
- https://ads.green-pickle-jo.shop/1.m4a
- https://ai.fdswgw.shop/one.mp4
- https://b1-c1-k8.pages.dev/
- https://cleaning-devices-k.pages.dev/
- https://disable-data-ai-agent.pages.dev
- https://disable-data-collect-ai.pages.dev/
- https://discover-travel-agency.pro/1.m4a
- https://discover-travel-agency.pro/joke.m4a
- https://discover-travel-agency.pro/walking.mp3
- https://dns-verify-me.pro/xfiles/train.mp4
- https://domain.com/BEGIMOT.xll
- https://ert67-o9.pages.dev/data
- https://f003.backblazeb2.com/file/skippp/glass.mp3
- https://f003.backblazeb2.com/file/skippp/index.html
- https://f003.backblazeb2.com/file/skippp/uu.html
- https://fresh-orange-juice.pages.dev/
- https://gdfg-23rwe.pages.dev/index.html
- https://ghost-name.pages.dev/website
- https://hostme.pages.dev/host
- https://human-verify.shop/xfiles/verify.mp4
- https://human-verify-4r.pro/xfiles/human.cpp
- https://human-verify-4r.pro/xfiles/verify.mp4
- https://human-verify-7u.pages.dev/
- https://hur.bweqlkjr.shop/1a.m4a
- https://hur.bweqlkjr.shop/m41.mp4
- https://macos-browser-update-5i.pages.dev/
- https://macos-browser-update-9n.pages.dev/
- https://microsoft-dns-reload-1r.pages.dev
- https://microsoft-dns-reload-5q.pages.dev
- https://mnjk-jk.bsdfg-zmp-q-n.shop/1.mp4
- https://nbhg-v.iuksdfb-f.shop/ajax.mp3
- https://niopg.pages.dev/
- https://note1.nz7bn.pro/nnp.mp4
- https://raw.githubusercontent.com/fuad686337/tyu/refs/heads/main/BEGIMOT.xll
- https://recaptcha-manual.shop/kangarooing.m4a
- https://recaptcha-verify-1r.pages.dev/
- https://recaptcha-verify-1t.pages.dev/
- https://recaptcha-verify-2e.pages.dev/
- https://recaptcha-verify-4h.pro/kangarooing.m4a
- https://recaptcha-verify-4h.pro/xfiles/kangarooing.vsdx
- https://recaptcha-verify-4h.pro/xfiles/verify.mp4
- https://recaptcha-verify-7z.pages.dev/
- https://recaptcha-verify-9m.pages.dev/
- https://recaptcha-verify-me-1c.pages.dev/
- https://recaptha-verify-5q.pages.dev/
- https://sandbox.yunqof.shop/macan.mp3
- https://sdfwefwg.pages.dev/
- https://sha-11x.pages.dev/
- https://start.cleaning-room-device.shop/sha589.m4a
- https://tour-agency-media.pages.dev/
- https://travel.image-gene-saver.it.com/1.m4a
- https://tumbl.design-x.xyz/glass.mp3
- https://yob.yrwebsdf.shop/1a.m4a
- https://yob.yrwebsdf.shop/3t.mp4
- https://you-insk-bad.pages.dev/
