En août, le chercheur en cybersécurité Randy McEoin a découvert un nouveau type de malware déguisé en mise à jour logicielle. Il l’a nommé « ClearFake ». ClearFake trompe les utilisateurs en exploitant des sites WordPress piratés, les amenant à télécharger de fausses mises à jour de navigateur qui infectent ensuite leurs systèmes avec des logiciels malveillants. Initialement, ClearFake s’est concentré sur les systèmes Windows, déployant une campagne avec une fausse mise à jour de Chrome. Des découvertes récentes du chercheur en sécurité Ankit Anubhav révèlent un changement de tactique, ClearFake ciblant désormais les utilisateurs de Mac via une mise à jour Safari contrefaite, délivrant des logiciels malveillants iOS.
ClearFake a utilisé deux méthodes principales pour transmettre les charges utiles aux systèmes des victimes. Initialement, les sites Web compromis étaient redirigés vers un hôte de travail Cloudflare, permettant l’injection de JavaScript malveillant. Les experts en sécurité ont détecté et facilement démantelé cette approche car elle était hébergée sur Cloudflare. Par la suite, le groupe a adopté une nouvelle stratégie, tirant parti des avantages de sécurité de la blockchain, notamment de la bibliothèque JS Binance Smart Chain (BSC).
Le téléchargement d’une charge utile de troisième étape est lancé en récupérant des scripts malveillants depuis la blockchain. En exploitant la nature décentralisée de la blockchain, les attaquants sont plus capables d’échapper aux retraits. La charge utile n’est pas différente, elle présente aux utilisateurs de fausses superpositions de mises à jour du navigateur qui conduisent à l’installation d’un exécutable malveillant.
ClearFake utilise des modèles qui imitent presque à l’identique les mises à jour légitimes de Safari et Chrome
Les pirates informatiques obscurcissent le code pour dissimuler leurs intentions malveillantes et échapper à la détection par les mesures de sécurité. En transformant le code en une structure complexe et alambiquée, ils ralentissent l’analyse et rendent difficile l’identification et l’interprétation de leurs activités par les outils de sécurité. Initialement nommé pour son JavaScript non obscurci, ClearFake est ironiquement devenu un formidable défi à détecter en raison de sa méthode d’injection basée sur la blockchain.
Selon un rapport de Malwarebytes, la récente campagne Mac de ClearFake distribue une variante distincte de malware, Atomic Stealer. Atomic Stealer offre aux cybercriminels une boîte à outils complète, permettant le vol de mots de passe de compte, de données de navigateur, de cookies de session et de portefeuilles cryptographiques. Distribué via un canal Telegram dédié, l’auteur du malware fournit un accès au panneau Web et un programme d’installation basé sur une image disque pour 1 000 $ par mois.
Déguisée en installateurs d’applications légitimes, la charge utile de ClearFake se fait passer pour des mises à jour Safari ou Chrome. Lors du téléchargement d’Atomic Stealer, le malware imite une autre mise à jour de Safari, invitant les utilisateurs à saisir un mot de passe administrateur pour l’exécution des commandes.
Les attaques d’ingénierie sociale déguisent souvent les logiciels malveillants en mises à jour logicielles ou en installateurs d’applications. Encore une fois, ClearFake utilise des modèles Safari et Chrome presque identiques à ceux utilisés par Mac et Google. Les utilisateurs de Mac doivent être vigilants contre cette nouvelle attaque d’ingénierie sociale visant à voler des informations sensibles.
