Los actores de amenaza detrás de la campaña ClearFake están utilizando falsos reCAPTCHA de Google y verificaciones de Cloudflare Turnstile como señuelos para engañar a los usuarios y hacer que descarguen malware como Lumma Stealer y Vidar Stealer.
ClearFake, identificado por primera vez en julio de 2023, es un grupo de actividad maliciosa que emplea cebos de actualización falsa del navegador en sitios WordPress comprometidos para distribuir malware.
La campaña también se caracteriza por el uso de una técnica llamada EtherHiding, que emplea contratos de la Binance Smart Chain (BSC) para obtener la siguiente carga maliciosa y así hacer más resistente la cadena de ataque. El objetivo final de estas infecciones es distribuir malware de robo de información dirigido tanto a sistemas Windows como macOS.
Desde mayo de 2024, los ataques de ClearFake han adoptado una táctica de ingeniería social conocida como ClickFix, que engaña a los usuarios para que ejecuten código malicioso de PowerShell bajo la apariencia de solucionar un problema técnico inexistente.
“Aunque esta nueva variante de ClearFake sigue basándose en EtherHiding y ClickFix, ha introducido interacciones adicionales con Binance Smart Chain”, señala un análisis de Sekoia.
“Al utilizar las interfaces binarias de aplicación (ABI) de los contratos inteligentes, estas interacciones permiten cargar múltiples códigos JavaScript y otros recursos que obtienen huellas digitales del sistema de la víctima, además de descargar, descifrar y mostrar el engaño de ClickFix.”
La última versión del framework ClearFake marca una evolución significativa, incorporando capacidades Web3 para evitar análisis y cifrando el código HTML relacionado con ClickFix.
El resultado es una secuencia de ataque en múltiples etapas que comienza cuando una víctima visita un sitio comprometido. Desde ahí, se recupera un código JavaScript intermedio desde Binance Smart Chain, el cual se encarga de obtener información del sistema y descargar el código cifrado de ClickFix alojado en Cloudflare Pages.
Si la víctima ejecuta el comando malicioso de PowerShell, se descarga Emmenhtal Loader (también conocido como PEAKLIGHT), que posteriormente instala Lumma Stealer.
Sekoia detectó otra variante de ataque en enero de 2025 en la que un cargador de PowerShell instalaba Vidar Stealer. Hasta febrero, al menos 9,300 sitios han sido infectados con ClearFake.
“El operador ha actualizado constantemente el código del framework, los señuelos y las cargas maliciosas a diario”, se detalla en el informe. “Ahora, la ejecución de ClearFake depende de múltiples piezas de datos almacenadas en Binance Smart Chain, incluidos códigos JavaScript, claves AES, URL con archivos HTML falsos y comandos PowerShell para ClickFix.”
El gran número de sitios comprometidos sugiere que esta amenaza sigue siendo un riesgo global. En julio de 2024, aproximadamente 200,000 usuarios únicos fueron potencialmente expuestos a los cebos de ClearFake que los inducían a descargar malware.
Recientemente, se descubrió que más de 100 sitios web de concesionarios de automóviles habían sido comprometidos con cebos de ClickFix, lo que llevó a la instalación de malware SectopRAT.
Este ataque no ocurrió directamente en los sitios de los concesionarios, sino en un servicio de video de terceros, LES Automotive (“idostream[.]com”), el cual ya eliminó la inyección maliciosa de JavaScript.
El descubrimiento de esta campaña coincide con la detección de varias campañas de phishing que distribuyen malware y roban credenciales:
Las campañas de ingeniería social están evolucionando rápidamente, lo que obliga a las organizaciones a implementar mecanismos de autenticación y control de acceso más robustos para defenderse contra técnicas como Adversary-in-the-Middle (AitM) y Browser-in-the-Middle (BitM).
Según un informe de Mandiant, “Una de las principales ventajas del uso de un framework BitM es su capacidad para apuntar a cualquier sitio web en segundos con mínima configuración. Una vez que una aplicación es atacada con BitM, el sitio legítimo se presenta a través de un navegador controlado por el atacante, lo que hace extremadamente difícil para la víctima diferenciar entre un sitio real y uno falso.”
Desde la perspectiva de un atacante, esta técnica facilita el robo de sesiones protegidas por autenticación multifactor (MFA), representando una amenaza crítica en el panorama actual de ciberseguridad.
The threat actors behind the ClearFake campaign are using fake Google reCAPTCHA and Cloudflare Turnstile verifications as bait to trick users into downloading malware such as Lumma Stealer and Vidar Stealer.
ClearFake, first identified in July 2023, is a cyber threat cluster that employs fake browser update prompts on compromised WordPress sites as a malware distribution vector.
The campaign is also known for using a technique called EtherHiding, which employs Binance Smart Chain (BSC) contracts to fetch the next-stage payload, making the attack chain more resilient. The ultimate goal of these infections is to deploy information-stealing malware targeting both Windows and macOS systems.
As of May 2024, ClearFake attacks have adopted a social engineering tactic known as ClickFix, which tricks users into executing malicious PowerShell code under the guise of fixing a nonexistent technical issue.
“Although this new ClearFake variant continues to rely on the EtherHiding technique and the ClickFix tactic, it has introduced additional interactions with Binance Smart Chain,” Sekoia stated in a new analysis.
“By using smart contracts’ Application Binary Interfaces (ABI), these interactions involve loading multiple JavaScript codes and additional resources that fingerprint the victim’s system, as well as downloading, decrypting, and displaying the ClickFix lure.”
The latest iteration of the ClearFake framework marks a significant evolution, adopting Web3 capabilities to resist analysis and encrypting the ClickFix-related HTML code.
The result is an updated multi-stage attack sequence that begins when a victim visits a compromised website. This leads to the retrieval of an intermediate JavaScript code from BSC, which is responsible for fingerprinting the system and fetching the encrypted ClickFix code hosted on Cloudflare Pages.
If the victim executes the malicious PowerShell command, it results in the deployment of Emmenhtal Loader (aka PEAKLIGHT), which subsequently drops Lumma Stealer.
Sekoia observed another ClearFake attack chain in January 2025, where a PowerShell loader installed Vidar Stealer. As of last month, at least 9,300 websites have been infected with ClearFake.
“The operator has consistently updated the framework code, lures, and distributed payloads daily,” the report noted. “ClearFake execution now relies on multiple pieces of data stored in Binance Smart Chain, including JavaScript code, AES keys, URLs hosting lure HTML files, and ClickFix PowerShell commands.”
The large number of compromised websites suggests that this threat remains widespread. In July 2024, approximately 200,000 unique users were potentially exposed to ClearFake lures that encouraged them to download malware.
Recently, over 100 auto dealership websites were discovered to have been compromised with ClickFix lures leading to the deployment of SectopRAT malware.
This infection did not occur directly on the dealerships’ websites but rather on a third-party video service, LES Automotive (“idostream[.]com”), which has since removed the malicious JavaScript injection from its site.
The discovery of this campaign coincides with several phishing campaigns engineered to distribute malware and steal credentials:
As social engineering campaigns become increasingly sophisticated, organizations must stay ahead by implementing robust authentication and access control mechanisms against Adversary-in-the-Middle (AitM) and Browser-in-the-Middle (BitM) techniques, which allow attackers to hijack accounts.
According to a report published this week by Google-owned Mandiant, “A pivotal benefit of employing a BitM framework lies in its rapid targeting capability, allowing it to reach any website on the web in a matter of seconds with minimal configuration. Once an application is targeted through a BitM tool or framework, the legitimate site is served through an attacker-controlled browser. This makes the distinction between a legitimate and a fake site exceptionally challenging for a victim.”
From an attacker’s perspective, BitM provides a simple yet effective way to steal sessions protected by multi-factor authentication (MFA), making it a critical threat in today’s cybersecurity landscape.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.
