CLEARFAKE 利用驱动式入侵来传播信息窃取程序 | 网络风险

一旦使用 Ethers 库发出请求，受害者的浏览器就会使用 JSON RPC 向 BSC 发起 POST 请求，响应格式如下，末尾带有编码字符串（为方便查看已截断）：

“{“jsonrpc”:”2.0″,”id”:44,”result”:”0x000000000000000[….]“

此响应包含由参与者控制的域地址，用于传递有效负载，该有效负载在浏览器上识别和执行，向受害者显示正确的语言和虚假的浏览器 iframe。

2024 年 5 月更新 – 用户交互以启动 PowerShell

错误本身表明网页显示存在问题。当用户点击“如何修复”时，会出现一个带有说明的附加屏幕。其中包括要求用户单击复制按钮（复制 PowerShell 代码）、从开始菜单打开 PowerShell 并运行代码。Kroll 指出，在浏览网页后不久，受害者确实从开始菜单打开了 PowerShell，与这些说明相关联并初始化了入侵。

初始浏览器错误屏幕

后续浏览器错误屏幕向受害者提供指导

Kroll 观察到受害者运行的 PowerShell 代码有几种变体，可能是由于随着时间的推移而发生了细微变化。在所有情况下，用户复制的长字符串首先会生成 ipconfig.exe 来刷新本地计算机上的 DNS。然后，它会将剪贴板的值更改为 $BRW 处的空白（实际上是从剪贴板中删除复制的代码）。大部分执行的代码都以 base64 编码的字符串形式保存在 $CRT 变量中。