Sommario
L’evoluzione delle campagne malware che sfruttano tecniche avanzate di ingegneria sociale e tecnologie Web3 trova nel framework ClearFake un caso emblematico. Dall’estate 2023, questo codice malevolo basato su JavaScript viene inserito all’interno di siti compromessi per indurre l’utente a scaricare falsi aggiornamenti del browser. Le sue varianti più recenti, analizzate dal team TDR di Sekoia.io, mostrano un incremento significativo della sofisticazione: l’uso della Binance Smart Chain, la crittografia HTML, le lusinghe ClickFix e un’infrastruttura decentralizzata pongono ClearFake come una minaccia avanzata e persistente.
Dalle finte pagine di aggiornamento a una complessa catena di infezione basata su smart contract
ClearFake debutta nel luglio 2023, con una semplice strategia: l’iniezione nei siti compromessi di codice che simula aggiornamenti browser. A ottobre, introduce EtherHiding, tecnica che consente al malware di recuperare codice da smart contract sulla blockchain. Il payload è criptato in base64 ed esadecimale e viene decodificato tramite ethers.js, libreria utilizzata per interagire con l’infrastruttura Ethereum.
Nel giugno 2024, la variante ClearFake semplifica la sua catena operativa: il codice iniziale recupera direttamente il payload dalla Binance Smart Chain, elimina i passaggi intermedi e punta a un’interazione più diretta con il sistema della vittima. È in questo periodo che nasce ClickFix, inganno basato su pop-up simulati di browser che spingono l’utente a copiare ed eseguire comandi PowerShell. La portata linguistica dell’inganno è estesa: vengono infatti presi di mira utenti in 44 lingue per i browser Chrome, Firefox e Opera.
L’inganno ClickFix si trasforma: CAPTCHA falsi e messaggi di errore per indurre all’esecuzione
A partire da dicembre 2024, l’infrastruttura ClearFake si rinnova ulteriormente. Vengono utilizzati CAPTCHA simulati – Cloudflare Turnstile o reCAPTCHA – che inscenano errori tecnici per convincere l’utente a risolvere un falso problema eseguendo manualmente codice PowerShell dannoso. Questo codice, una volta incollato ed eseguito, installa sulla macchina il loader Emmenhtal, che a sua volta veicola malware come Lumma Stealer e Vidar Stealer.
Le pagine HTML malevole che visualizzano questi CAPTCHA sono criptate e ospitate su Cloudflare Pages, mentre i comandi dannosi vengono caricati dinamicamente da contratti sulla Binance Smart Chain. Ogni comando PowerShell è offuscato, simula un’estensione video (es. MP4, M4A) e viene mascherato come verifica o aggiornamento DNS.
Struttura modulare su blockchain: smart contract per codici, chiavi AES e URL dannosi
Il codice malevolo ClearFake si basa su un sistema a due stadi, ognuno dei quali interagisce con differenti wallet sulla Binance Smart Chain. Il primo stadio recupera e decomprime codice JavaScript compresso in GZIP, mentre il secondo utilizza funzioni definite nell’Application Binary Interface (ABI) per interagire con contratti e caricare dinamicamente ulteriori moduli. Le funzioni denominate orchidABI e merlionABI restituiscono stringhe criptate con dati essenziali: URL per lure HTML, chiavi AES per decrittare le pagine, e comandi PowerShell per l’infezione.
Attraverso queste funzioni ABI, il codice verifica il browser e il sistema operativo della vittima, carica la pagina CAPTCHA e, infine, inserisce un comando PowerShell nel clipboard del sistema. Una volta eseguito, il comando richiama uno script MSHTA remoto che scarica il loader Emmenhtal, avviando la fase successiva dell’attacco.
Emmenhtal loader: struttura complessa e offuscata per aggirare antivirus
Il loader Emmenhtal distribuito da ClearFake si basa su script PowerShell annidati e criptati, strutturati per eludere i sistemi di sicurezza come AMSI. La prima fase consiste in uno script MSHTA contenente codice HTML con JavaScript offuscato. Questo codice decritta un payload che a sua volta lancia un altro script PowerShell.
La seconda fase contiene uno script che scarica un payload remoto da domini appositamente registrati (es. klipxytozyi[.]shop), spesso mascherato da file .bmp. Il codice esegue poi comandi PowerShell che decrittano un’ulteriore porzione del malware. Nella terza fase, viene eseguito uno script PowerShell di grandi dimensioni (fino a 17 MB), pesantemente offuscato e progettato per aggirare le difese endpoint e installare il malware finale, identificato in Lumma Stealer.
Vidar Stealer: la rete si espande attraverso GitHub
Nel gennaio 2025, il gruppo responsabile di ClearFake amplia ulteriormente la portata della sua infrastruttura malevola distribuendo Vidar Stealer, un altro noto malware specializzato nel furto di credenziali, sessioni browser, criptovalute e dati sensibili. A differenza del canale Emmenhtal, in questo caso l’intera catena di infezione si appoggia a risorse pubbliche caricate su GitHub, sfruttando così un’infrastruttura legittima per occultare i contenuti dannosi.
Il processo inizia con un lure ClickFix che inganna l’utente inducendolo a eseguire un comando MSHTA, il quale richiama una pagina HTML fittizia ospitata su GitHub Pages. Questa pagina scarica e avvia un ulteriore script PowerShell che a sua volta richiama un file eseguibile Vidar, sempre da GitHub. Una volta attivo, il malware esegue l’esfiltrazione dei dati verso server di comando e controllo (C2) situati su domini come lapkimeow[.]icu. Questo schema mostra quanto le campagne ClearFake siano adattabili, capaci di integrare carichi malevoli differenti attraverso canali variabili, mantenendo un’elevata efficacia nell’aggirare controlli di sicurezza.
Una minaccia persistente, decentralizzata e in rapida evoluzione
L’infrastruttura ClearFake, nella sua variante di febbraio 2025, sfrutta al massimo le potenzialità della decentralizzazione offerte dalla blockchain. Ogni elemento dell’infezione – dal codice JavaScript ai comandi PowerShell, fino ai file HTML lure – è ospitato su piattaforme resilienti e difficili da rimuovere, come Cloudflare Pages o la Binance Smart Chain. Questa architettura consente agli attaccanti non solo di aumentare la resilienza dell’attacco, ma anche di condividere framework, codici e metodi con altri gruppi criminali.
La tecnica nota come EtherHiding, che prevede la memorizzazione di contenuti critici all’interno di smart contract, rende praticamente impossibile rimuovere i dati una volta pubblicati. Inoltre, questa struttura permette ad altri attori minacciosi di inserire propri comandi o link all’interno del sistema ClearFake, creando una rete flessibile e condivisibile per campagne dannose su larga scala.
Impatto globale: oltre 200.000 utenti esposti ogni giorno
Il team Sekoia TDR segnala che, nel luglio 2024, i siti compromessi da ClearFake avevano raggiunto una stima di 200.000 utenti unici esposti giornalmente. Questa cifra è ottenuta attraverso motori di scansione pubblici come Censys e PublicWWW, i quali rivelano la presenza del codice malevolo analizzando la firma del wallet smart contract 0x9179dda8B285040Bf381AABb8a1f4a1b8c37Ed53.
A oggi, le analisi indicano che i domini compromessi potrebbero essere molte decine di migliaia, vista l’incompleta copertura delle query automatiche. La diffusione capillare del codice, unita a una strategia di social engineering che colpisce direttamente la psicologia dell’utente, rende ClearFake uno degli strumenti più sofisticati e insidiosi attualmente in circolazione nel cybercrime.
Ti è piaciuto questo contenuto? Iscriviti alla nostra newsletter settimanale
Seguici su Google News iscrivendoti al canale
L’ultima variante del malware ClearFake evidenzia una mutazione strutturale profonda, che combina decentralizzazione, offuscamento, tecniche blockchain e ingegneria sociale avanzata. Dalla semplice distribuzione di falsi aggiornamenti del browser, ClearFake ha costruito un framework flessibile e persistente che, sfruttando smart contract e piattaforme legittime, garantisce la diffusione continua di stealer come Lumma e Vidar.
L’infrastruttura basata su Binance Smart Chain non solo consente l’occultamento efficace del codice, ma offre una forma di “malware as a service” potenzialmente riutilizzabile da altri attori minacciosi. Il risultato è un ecosistema dannoso in espansione, difficile da bloccare con strumenti convenzionali.
