Μία νέα, επικίνδυνη απειλή κακόβουλου λογισμικού, γνωστή ως ClearFake, έχει αναδειχθεί, εκμεταλλευόμενη τις δυνατότητες των έξυπνων συμβολαίων blockchain. Αυτή η πρωτοβουλία καθιστά τη διαδικασία εντοπισμού και προσβολής της σχεδόν αδύνατη για τις ομάδες κυβερνοασφάλειας.
Αντί να βασίζονται σε κλασικούς διακομιστές, οι επιτιθέμενοι έχουν «κλείσει» την υποδομή τους μέσα στο τεστ δίκτυο BNB Smart Chain. Αυτή η αποκεντρωμένη αρχιτεκτονική καθιστά την αποστολή εντολών και ελέγχου αδύνατη για τις αρχές, καθώς κανείς δεν έχει τη δυνατότητα να την ελέγξει ή να την διακόψει.
Ο μηχανισμός διάδοσης του ClearFake ξεπερνά τον παραδοσιακό τρόπο προσβολής, καθώς οι επιτιθέμενοι εισάγουν κρυφό κώδικα JavaScript σε νόμιμους ιστότοπους. Τα θύματα, με απλή επίσκεψη σε αυτούς τους παραβιασμένους ιστότοπους, μολύνονται χωρίς τη δική τους εμπλοκή.
Η μόλυνση μπορεί να πραγματοποιηθεί μόλις επισκεφτούν μια περιβαλλοντική σελίδα που έχει παραβιαστεί. Σε μία μάλιστα περίπτωση, ένας υπάλληλος ψυχαγωγίας στην Ελβετία βρέθηκε με το μηχάνημά του να έχει καταληφθεί, και αυτό συνέβη μέσω μιας πλήρως αυτοματοποιημένης διαδικασίας επιθέσεων.
Η ανάλυση του Trend Micro αποκάλυψε το βάθος της εκστρατείας ClearFake τον Μάιο του 2026. Η εταιρεία αναφέρει ότι οι επιτιθέμενοι χρησιμοποιούν μια τεχνική που ονομάζεται EtherHiding, η οποία εξασφαλίζει την αποθήκευση των εντολών δρομολόγησης των ωφέλιμων φορτίων μέσα στα έξυπνα συμβόλαια blockchain—παρακάμπτοντας έτσι τις συνήθεις μεθόδους αποκλεισμού βασισμένες σε URLs.
Η επίθεση προσφέρει δύο ισχυρά εργαλεία: το SectopRAT, ένα Trojan Remote Access γραμμένο σε .NET, που μπορεί να παραβιάσει τις διαδικασίες του προγράμματος περιήγησης, καθώς και το ACRStealer, ένα πρόγραμμα κλοπής πληροφοριών γραμμένο σε C++ που συλλέγει κωδικούς πρόσβασης και δεδομένα κρυπτονομισμάτων.
Οι χρήστες που λειτουργούν σε Windows και macOS δρομολογούνται σε διαφορετικά ωφέλιμα φορτία, με βάση την ανίχνευση του λειτουργικού τους συστήματος σε πραγματικό χρόνο.
Αυτό που καθιστά την καμπάνια αυτή ιδιαίτερα ανησυχητική είναι η σταθερότητά της. Έχουν εντοπιστεί τέσσερα έξυπνα συμβόλαια που μοιράζονται μία μόνο διεύθυνση πορτοφολιού και το πιο παλιό συμβόλαιο αναπτύχθηκε σχεδόν έναν χρόνο πριν από τη διεξαγωγή της ανάλυσης.
Αυτό δεν είναι μια μεμονωμένη απόπειρα. Αναδεικνύει μια στυγνή, πλήρως οργανωμένη καμπάνια σχεδιασμένη να επιβιώσει από οποιαδήποτε προσπάθεια κατάργησης από τους αρμόδιους φορείς ή τους προμηθευτές ασφαλείας.
Στρατηγική ClearFake με Smart Contracts BSC Testnet
Η τεχνική EtherHiding επιτρέπει την αποθήκευση κακόβουλης JavaScript απευθείας μέσα σε έξυπνα συμβόλαια, αντί σε παραδοσιακούς φιλοξενούμενους Ιστό.
Με την επίσκεψη ενός θύματος σε παραβιασμένο ιστότοπο, ο έγχυτος κώδικας στέλνει ερωτήματα στο blockchain, φορτώνοντας το ωφέλιμο φορτίο απευθείας στο πρόγραμμα περιήγησης, χωρίς τη χρήση εξωτερικών URLs.
.webp)
Η μέθοδος ClearFake αποθηκεύει πλήρως την κακόβουλη JavaScript στην αλυσίδα, και όχι απλώς την διεύθυνση URL.
Τα τέσσερα συμβόλαια παίζουν διακριτούς ρόλους: το Smart Contract A είναι υπεύθυνο για την αποστολή των εντολών δρομολόγησης, το Smart Contract B περιέχει την επικάλυψη ClickFix για Windows, το Smart Contract C είναι ειδικά για macOS και το Smart Contract D παρακολουθεί τους συμβιβασμούς σε πραγματικό χρόνο.
Η λειτουργία στο δοκιμαστικό δίκτυο σημαίνει επίσης ότι οι επιτιθέμενοι δεν χρειάζεται να καταβάλουν οποιοδήποτε κόστος, καθώς τα δοκιμαστικά tokens BNB δεν έχουν χρηματική αξία.
ClickFix Overlay και Διπλή Παράδοση Ωφελιμού Φορτίου
Αφού το ερώτημα στον blockchain επιτυχεί, τα θύματα παρατηρούν μια ψεύτικη επικάλυψη Google reCAPTCHA με το κουτί ελέγχου “Δεν είμαι ρομπότ”.
Το κλικ σε αυτό ενεργοποιεί το πάνελ κοινωνικής μηχανικής ClickFix, το οποίο εισάγει ταυτόχρονα μια κακόβουλη εντολή απευθείας στο πρόχειρο του θύματος.
Οι χρήστες Windows καλούνται να ανοίξουν το παράθυρο διαλόγου “Εκτέλεση” και να επικολλήσουν την εντολή, φορτώνοντας ένα απομακρυσμένο DLL στη μνήμη, χωρίς να εγγραφεί ποτέ στο δίσκο. Ένας φορτωτής RAT και shellcode βασισμένο σε Python εγκαθίσταται αθόρυβα σε ένα φάκελο που μιμείται μια νόμιμη διεύθυνση FTP.
Οι ομάδες ασφαλείας καλούνται να αποκλείσουν την εξερχόμενη κίνηση JSON-RPC προς τα τελικά σημεία BNB Smart Chain testnet, ξεκινώντας από το bsc-testnet-rpc.publicnode.com, προκειμένου να σταματήσουν το βήμα ερωτήματος συμβολαίου πριν τον εκτέλεση οποιουδήποτε ωφέλιμου φορτίου.
Η απενεργοποίηση της υπηρεσίας WebClient σε Windows συστήματα που δεν απαιτούν WebDAV μπορεί να ισχυραίνει την προστασία κατά των απομακρυσμένων μηχανισμών παράδοσης DLL. Πολιτικές διαχείρισης προγράμματος περιήγησης που περιορίζουν την πρόσβαση στο πρόχειρο θα μπορούν να προλαμβάνουν το βήμα ClickFix προτού το θύμα εκτελέσει την εισαγόμενη εντολή.
Η εκπαίδευση των χρηστών σχετικά με τις ψεύτικες επικάλυψεις CAPTCHA και ClickFix είναι η καλύτερη άμυνα, δεδομένου ότι η αλυσίδα της μόλυνσης απαιτεί μόνο μία σκόπιμη ενέργεια από τον χρήστη.
Δείκτες Συμβιβασμού (IoCs):
| Τύπος | Δείκτης | Περιγραφή |
|---|---|---|
| Διεύθυνση Blockchain | 0xAdecFB75C8C0CA2b C105 17ce5B7AF99b4c2d52c9 | Έξυπνο συμβόλαιο Α (Σύμβαση σημείου εισόδου σταδίου 1, έχει κωδικοποιημένο με βάση 64 Στάδιο 2 JS) |
| Διεύθυνση Blockchain | 0x4679 0e2Ac7F3CA5a7D1bf Ce3123d1 1E91D23386Fw | Έξυπνο συμβόλαιο Β (ωφέλιμο φορτίο επικάλυψης ClickFix για συγκεκριμένα Windows) |
| Διεύθυνση Blockchain | 0x68Dc e15C1002 a268 9E19D33A 3aE509Dd1fe b11A5 | Έξυπνο συμβόλαιο C (ωφέλιμο φορτίο ειδικά για macOS) |
| Διεύθυνση Blockchain | 0xf4a325 88b50a59ab2fb a148d 4360b1A48d8b 0b32A | Έξυπνο συμβόλαιο D (παρακολούθηση επιβεβαίωσης εκτέλεσης στην αλυσίδα) |
| Διεύθυνση Πορτοφολιού | 0xd71f4cdC8442 0d2bd07F 507b7A4F99 8b4c2d52c9 | Κοινό πορτοφόλι προγραμματιστή και για τα τέσσερα έξυπνα συμβόλαια |
| Τελικό σημείο RPC | bsc-testnet-rpc.publicnode[.]com | BSC testnet RPC τελικό σημείο ερωτήματος από το Stage 1 injected JavaScript |
| Όνομα αρχείου | put34b.camp | Το απομακρυσμένο DLL φορτώνεται από την υπηρεσία Windows WebClient απευθείας στη μνήμη |
| Όνομα αρχείου | pythonw.exe | Ο Silent διερμηνέας Python έπεσε στον κατάλογο δεδομένων FileZilla |
| Όνομα αρχείου | helper.py | Ο φορτωτής Shellcode έπεσε μαζί με το pythonw.exe |
| Όνομα αρχείου | libvlccore.dll | Κακόβουλο DLL διακομιστή μεσολάβησης που χρησιμοποιείται στην τριάδα πλευρικής φόρτωσης VLC DLL (ACRStealer) |
| Όνομα αρχείου | remote_debugging.pyd | Μονάδα κλοπής διαπιστευτηρίων προγράμματος περιήγησης που χρησιμοποιείται από τη SectopRAT |
| Όνομα cookie | cjs_id | Το cookie UUID έχει οριστεί από επικάλυψη JS για την παρακολούθηση της δημόσιας IP του θύματος και της συσχέτισης εκ νέου επίσκεψης |
| Παρακολούθηση Analytics | mc.yandex[.]ru/metrika/tag.js | Το πρόγραμμα παρακολούθησης Yandex Metrika εγχύθηκε από ωφέλιμο φορτίο macOS (αναγνωριστικό μετρητή: 99162160) |
| Όνομα διαδικασίας | rundll32.exe | Χρησιμοποιείται για τη φόρτωση του απομακρυσμένου DLL του put34b.camp μέσω διαδρομής UNC |
| Όνομα διαδικασίας | dllhost.exe | Δημιουργήθηκε από το rundll32.exe. ρίχνει τα αρχεία Python RAT και κάνει ένεση σε προγράμματα περιήγησης |
Σημείωση: Οι διευθύνσεις IP και οι τομείς είναι σκόπιμα αλλοιωμένοι (π.χ. [.]) για την αποφυγή τυχαίας επίλυσης ή υπερσύνδεσης. Re-fang μόνο σε ελεγχόμενες πλατφόρμες πληροφοριών απειλών όπως το MISP, το VirusTotal ή το SIEM σας.
