ClearFake 恶意软件家族的新变种利用 Web3 功能

关键要点

• 最新的 ClearFake 恶意软件版本利用 Web3 的能力，从区块链上的智能合约加载恶意脚本和有效载荷。
• 清理销售通过受损的网站（主要是 WordPress 网站）传播信息窃取软件，使用 ClickFix 社交工程技术。
• ClearFake 于 2023 年 7 月首次被发现，并开始使用 ClickFix 进行攻击。
• 最新变种通过伪造验证码页面和 JavaScript 框架更新了钓鱼诱饵，同时使用 Binance 智能链检索文件。
• ClearFake 使用 EtherHiding 技术将恶意文件永久存储在区块链上。
• 伪造验证码通过引导用户执行 PowerShell 命令，实现信息盗窃。

2024 年 7 月，Sekoia.io 报告称，被 ClearFake 攻击的网站被约 200,000 名独立用户访问。ClearFake恶意软件家族利用区块链技术进行攻击，散布信息窃取工具，新的社交工程策略 ClickFix 则让攻击变得更加隐蔽。

EtherHiding 方法在区块链上存储恶意文件

在 2024 年 12 月的最新 ClearFake 活动中，攻击者更新了钓鱼诱饵，包括伪造的 CAPTCHA 页面和 JavaScript框架，并开始使用 Binance 智能链来检索各种文件，包括 ClickFix PowerShell 载荷。

Binance 智能链是一个具有智能合约功能的区块链平台，智能合约是为了促进区块链上的交易而设计的自执行数字合约。关于 ClearFake的案例，这些智能合约被用于存储恶意活动中所需的资源，这些文件被存储在合约的“输入数据”字段中。

用户访问受损 ClearFake 网站时执行的初始 JavaScript代码会加载与攻击者以太坊钱包相关的智能合约所需的应用程序二进制接口（ABIs）。ABIs定义了函数、对象和结构，决定应用程序如何与智能合约交互；在这种情况下，函数允许从智能合约中检索和执行必要的代码。

ClearFake 从攻击链中的三个不同钱包加载额外的 JavaScript、ABIs 以及用于解密的 AES 密钥和加密的 ClickFixHTML。这部分 JavaScript 代码会搜集用户的系统、浏览器和 Cookie 信息。而加密的 ClickFix HTML 代码通常托管在 Cloudflare Pages 上。

这种被称为 EtherHiding 的技术之前在 ClearFake 的小规模攻击中有所应用。2023 年 10 月，ClearFake被观察到从其以太坊地址检索单个恶意 JavaScript 文件。

使用 EtherHiding 技术，不仅帮助攻击者规避传统的检测方法，还确保恶意文件永久存储在区块链上。

ClickFix 社交工程导致信息窃取软件的部署

最近使用的伪造 CAPTCHA 诱饵模仿 Cloudflare Turnstile 页面或 reCAPTCHA 页面。CloudflareTurnstile 的仿造页面在两次尝试完成验证过程后显示 ClickFix 提示，声称存在“异常网络流量”，要求用户执行已复制到剪贴板的 PowerShell 命令。

而 reCAPTCHA 的伪造页面则会显示一个真实的提示，要求用户选择包含汽车的图像，稍后会显示“DNS 错误”消息，并附带 ClickFix 的指示。

通过 PowerShell 命令，执行 Mshta.exe，会从远程服务器检索和运行 JavaScript，最终导致 Emmenhtal Loader的安装和 Lumma Stealer 的部署。自 2025 年 1 月以来，ClearFake 还通过基本的 PowerShell loader 浏览 Vidar Stealer。

利用与此次活动相关的钱包地址作为妥协的指示器，Sekoia.io 的分析师能够在 Censys 上扫描受损网站，并发现截至 2025 年 2 月 24日已发现超过 9,300 个此类网站。

Sekoia.io 的研究人员指出，ClearFake 的最新进展，包括扩展的 EtherHiding 方法，之前已由研究者 Marek Szustak 在 2025 年 1 月的博客中描述。