A campanha maliciosa conhecida como ClearFake tem se expandido rapidamente, infectando mais de 9.300 sites e utilizando técnicas avançadas para propagar ameaças como Lumma Stealer e Vidar Stealer. O método inclui a implementação de reCAPTCHAs e Turnstiles falsos do Cloudflare, enganando os usuários para que baixem malwares sem suspeitar.
Campanha ClearFake utiliza reCAPTCHA falso para espalhar malware
Inicialmente identificado em julho de 2023, o ClearFake utiliza sites WordPress comprometidos para exibir falsas mensagens de atualização de navegador. Em seguida, os criminosos exploram uma técnica chamada EtherHiding, que utiliza contratos da Binance Smart Chain (BSC) para distribuir códigos maliciosos, tornando o ataque mais resiliente.
Em maio de 2024, foi incorporado ao ataque o método chamado ClickFix, uma técnica de engenharia social que persuade usuários a executar comandos maliciosos no PowerShell sob o pretexto de resolver um problema técnico inexistente.
Evolução da Ameaça
Pesquisadores da Sekoia relataram que a campanha sofreu aprimoramentos recentes, incluindo novos elementos Web3. O uso de Interfaces Binárias de Aplicativos (ABI) permite que os atacantes carreguem códigos JavaScript adicionais, identifiquem características do sistema da vítima e manipulem a entrega do malware.
Quando uma vítima acessa um site comprometido, um código intermediário em JavaScript é carregado a partir do BSC. Esse código identifica o sistema e busca comandos criptografados hospedados no Cloudflare Pages. Se o usuário for enganado e executar o comando PowerShell, o sistema será infectado com o Emmenhtal Loader (ou PEAKLIGHT), que posteriormente instala o Lumma Stealer.
Alternativas do ClearFake e Impacto
Outra variante do ClearFake, observada em janeiro de 2025, instalava o Vidar Stealer por meio de um carregador PowerShell. Os ataques seguem um padrão dinâmico, com os operadores atualizando os códigos e iscas diariamente. Estudos indicam que, até julho de 2024, cerca de 200.000 usuários já haviam sido expostos a essas técnicas fraudulentas.
Além disso, mais de 100 sites de concessionárias de automóveis foram recentemente comprometidos com iscas ClickFix, resultando na instalação do malware SectopRAT. A infecção ocorreu por meio de um serviço de vídeo terceirizado, idostream[.]com, que posteriormente removeu os códigos maliciosos.
Outras campanhas de phishing relacionadas
O ClearFake não é o único vetor de ataque em crescimento. Diversas campanhas de phishing estão utilizando novas técnicas para distribuir malware e roubar credenciais. Entre os métodos identificados estão:
- Arquivos VHD em e-mails para instalar o Venom RAT;
- Anexos do Microsoft Excel explorando a vulnerabilidade CVE-2017-0199 para distribuir AsyncRAT e Remcos RAT;
- Exploração de falhas no Microsoft 365 para assumir contas administrativas e executar ataques de phishing mais sofisticados.
Proteção contra ameaças emergentes
Com o aumento da sofisticação das campanhas de engenharia social, empresas e usuários devem adotar práticas de segurança robustas. A implementação de mecanismos de autenticação e controle de acesso pode minimizar os riscos de ataques como Adversário no Meio (AitM) e Navegador no Meio (BitM), que permitem o sequestro de contas protegidas por autenticação multifator (MFA).
Segundo um relatório recente da Mandiant, uma estrutura BitM pode comprometer rapidamente qualquer site, tornando quase impossível para o usuário diferenciar entre páginas falsas e autênticas. Como resultado, a segurança cibernética deve se manter em constante evolução para mitigar os riscos emergentes no ambiente digital.
