Nel mondo della sicurezza informatica, una nuova minaccia chiamata ClearFake sta attirando l'attenzione. Questo attacco sofisticato è stato progettato per infettare oltre 9.300 siti web utilizzando falsi reCAPTCHA e strumenti di verifica Turnstile per distribuire malware come Lumma Stealer e Vidar Stealer. La campagna ClearFake, emersa per la prima volta nel luglio 2023, utilizza aggiornamenti di browser web falsi come vettore di distribuzione del malware su siti WordPress compromessi.

Caratteristiche Distintive di ClearFake

Una delle caratteristiche distintive di ClearFake è l'utilizzo della tecnica EtherHiding, che implica l'uso di contratti sulla Binance Smart Chain (BSC) per rendere la catena di attacco più resistente e difficile da rilevare. Questa strategia culmina nella distribuzione di malware destinati a rubare informazioni, capaci di colpire sia i sistemi Windows che macOS.

Nuova Tattica: ClickFix

Da maggio 2024, gli attacchi ClearFake hanno adottato una nuova tattica chiamata ClickFix, una forma di ingegneria sociale che inganna gli utenti inducendoli a eseguire codice PowerShell malevolo, sotto la falsa premessa di risolvere inesistenti problemi tecnici. Questa evoluzione ha visto l'integrazione di capacità Web3, rendendo il codice HTML associato a ClickFix più difficile da analizzare grazie all'uso della crittografia.

Meccanismo di Attacco

Quando un utente visita un sito compromesso, un codice JavaScript intermedio viene recuperato dalla BSC, il quale esegue il fingerprinting del sistema e scarica il codice ClickFix crittografato ospitato su Cloudflare Pages. Se l'utente esegue il comando PowerShell malevolo, viene distribuito l'Emmenhtal Loader, che successivamente rilascia il Lumma Stealer.

Alternativa di Attacco

Un attacco alternativo è stato osservato alla fine di gennaio 2025, dove un loader PowerShell era responsabile dell'installazione di Vidar Stealer. Gli attacchi ClearFake hanno infettato almeno 9.300 siti web, e il framework è continuamente aggiornato con nuovi codici e payload distribuiti quotidianamente attraverso la Binance Smart Chain.

Importanza della Vigilanza Continua

Questa minaccia sottolinea l'importanza di una vigilanza continua e di robusti meccanismi di autenticazione e controllo degli accessi per proteggere le organizzazioni dalle tecniche avanzate di ingegneria sociale come quelle utilizzate da ClearFake. Inoltre, è fondamentale per le aziende rimanere al passo con le tendenze emergenti e rafforzare le loro difese contro attacchi come BitM, che permettono agli aggressori di intercettare le sessioni protette da autenticazione a più fattori.