新型 ClearFake 变种利用虚假的 reCAPTCHA 诱骗用户并传播恶意 PowerShell 代码

ClearFake 是一款恶意的 JavaScript 框架，于 2023 年 7 月首次被发现，如今它已借助复杂的新型社会工程策略实现了演变。

该框架最初被设计用于显示虚假的浏览器更新页面，之后经历了重大发展，融入了更先进的欺骗技术，以便通过受攻击的网站来传播恶意软件。2024 年 12 月发现的最新变种，利用虚假的 reCAPTCHA 或 Cloudflare Turnstile 验证挑战，诱骗用户执行恶意的 PowerShell 代码。

与早期依赖虚假浏览器更新的版本相比，这是一个重大的演变。

Sekoia 的分析师发现，这个新变种继续使用 “EtherHiding” 技术，但引入了与Binance Smart Chain的更多交互。

该框架现在会部署多个 JavaScript 代码和资源，在下载、解密和展示欺骗性诱饵之前，先对受害者的系统进行指纹识别。

当用户访问一个受攻击的网站时，他们会遇到一个初始脚本，该脚本会加载 Web3 库，并启动与Binance Smart Chain的通信。

恶意代码隐藏在智能合约中，由于区块链数据的不可变性，这使得分析更加困难，几乎不可能将其清除。

感染流程始于受攻击网站上注入的 JavaScript 代码，该代码从区块链智能合约中检索恶意代码，最终导致显示虚假的安全挑战。

攻击分析

攻击始于注入受攻击网站（大多是 WordPress 网站）的一段简短的 JavaScript 代码，该代码会加载 web3、pako 和 crypto-js 等合法依赖项。

这个初始脚本会与钱包地址（如 0x9179dda8B285040Bf381AABb8a1f4a1b8c37Ed53）的智能合约进行交互，以检索并执行额外的代码段。

恶意软件使用了压缩且经过 Base64 编码的数据，这些数据在执行前必须先解密。

呈现给用户的 ClickFix 诱饵，要么是声称检测到 “异常网络流量” 的虚假 Cloudflare Turnstile 验证，要么是带有 DNS 错误消息的虚假 reCAPTCHA 挑战。

这两种诱饵都会指示用户打开 “运行” 命令（Win+R），并执行自动复制到他们剪贴板的 PowerShell 命令。

虚假的 reCAPTCHA 会要求用户选择汽车的图片，而虚假的 Cloudflare Turnstile 会向用户提出验证挑战，这两者最终都是社会工程学的尝试。

PowerShell 命令会使用远程脚本执行 mshta.exe，这些脚本会传递包括 Emmenhtal Loader，最终还有 Lumma 窃密器或 Vidar 窃密器在内的有效载荷。

Sekoia 的研究人员指出，ClearFake 的基础设施涉及超过 9300 个受攻击的网站，每天可能有数千名用户会接触到这些恶意诱饵。

利用区块链技术来传播恶意软件，代表着一种新出现的威胁，这使得传统的缓解和阻止措施面临更大的挑战。