Compromete los sitios de WordPress e inyecta en ellos JavaScript
ClearFake, una amenaza recientemente documentada que aprovecha sitios de WordPress comprometidos para impulsar actualizaciones falsas y maliciosas del navegador, probablemente sea operada por el grupo de amenazas detrás de las campañas de "entrega de malware a través de falsas actualizaciones del navegador" de SocGholish, concluyeron los investigadores de Sekoia.
Acerca de ClearFake
ClearFake es el nombre que le dio el investigador Randy McEoin a una campaña de entrega de malware que describió en agosto de 2023. "El nombre es una referencia a que la mayoría de Javascript se utiliza sin ofuscación", explicó.
El actor de amenazas detrás de ClearFake compromete los sitios de WordPress e inyecta en ellos JavaScript que descarga otra carga útil de JavaScript de un dominio propiedad del atacante o, desde el 28 de septiembre, del valor de resultado de un contrato inteligente solicitado de Binance Smart Chain.
Las cargas útiles descargadas crean posteriormente un elemento iframe para alojar la interfaz de la falsa actualización (que oculta la página subyacente), descargar esa interfaz y el contenido de la falsa actualización y la página HTML.
Al visitante del sitio comprometido finalmente se le muestra una falsa página de actualización para Chrome, Edge y Firefox, alegando que debe actualizar su navegador para ver el contenido de la página.
Imagen: Página de actualización falsa ClearFake para Chrome (Fuente: Sekoia)
Según los investigadores de Proofpoint, las falsas páginas de actualización se muestran en diferentes idiomas (inglés, francés, alemán, español y portugués), según el idioma configurado en el navegador de los usuarios.
Los usuarios que caigan en la trampa e inicien la descarga (desde Dropbox) obtendrán un instalador de navegador legítimo, pero también malware como el HijackLoader modular o el cargador IDAT similar.
Otros actores publicando falsas actualizaciones
"HijackLoader implementa varias técnicas de evasión, incluida la inyección de código, el uso de llamadas al sistema, hash de API de Windows y Heaven's Gate. En los últimos meses, HijackLoader entregó numerosos malware básicos, incluidos Danabot, Lumma, Raccoon, Redline, Remcos, SystemBC y Vidar", compartieron los investigadores de Sekoia.
"Al vincular el atractivo de las 'actualizaciones falsas' con la técnica del abrevadero, los operadores de ClearFake se dirigen a una amplia gama de usuarios y llevan a cabo campañas de distribución de malware eficaces y escalables".
Si bien Proofpoint no atribuye la actividad ClearFake a un actor conocido, los investigadores de Sekoia creen que podría ser el mismo que está detrás de SocGholish: Las tácticas, técnicas y procedimientos aprovechados por los operadores de ClearFake se superponen con los de los de SocGholish (seguidos como TA569), en particular el uso de abrevaderos, señuelos de 'actualizaciones falsas', el sistema de distribución de tráfico Keitaro, el servicio de alojamiento de archivos Dropbox y el enmascaramiento de nombre de archivo con caracteres cirílicos.
Sea cierto o no, hay otros potenciales actores que utilizan el mismo ángulo de "actualizaciones falsas". Proofpoint también ha resumido las actividades relacionadas con las campañas RogueRticate/FakeSG y ZPHP/SmartApeSG.
"SocGholish y TA569 han demostrado que comprometer sitios web vulnerables para mostrar falsas actualizaciones del navegador funciona como un método viable para la distribución de malware, y nuevos actores han aprendido de TA569 y han comenzado a adoptar el señuelo a su manera. Estos imitadores pueden estar utilizando ladrones de información y RAT actualmente, pero podrían fácilmente convertirse en intermediarios de acceso inicial para ransomware", afirman.
Para proteger su organización, los equipos de seguridad deben confiar en la educación de los usuarios, la protección de terminales y las detecciones de red.
"La cuenta infosec.exchange @monitorsg es un útil recurso público para seguir detalles recientes sobre cargas útiles y cambios de infraestructura. El conjunto de reglas de amenazas emergentes tiene reglas de dominio disponibles para la mayoría de las amenazas actuales y actualiza y publica periódicamente nuevas reglas para bloquear todas las campañas falsas de actualización del navegador", compartieron.