ClearFake nutzt BSC-Testnet-Smart Contracts für widerstandsfähige Command-and-Control-Strukturen

In einem bestätigten Fall wurde ein Mitarbeiter, der in der Schweiz eine Unterhaltungswebsite besuchte, durch eine vollständig automatisierte Angriffssequenz stillschweigend übernommen. Forscher Intrusion im Mai 2026 und enthüllten die gesamte Tiefe der Kampagne.

In einem (CSN) veröffentlichten Bericht teilte Trend Micro mit, dass Angreifer eine Technik namens EtherHiding eingesetzt haben, um Routing-Anweisungen für Schadcode in Smart Contracts damit alle URL-basierten Blockiermethoden vollständig zu umgehen.

Die Angriffs-Kette lieferte zwei gefährliche Werkzeuge gleichzeitig: SectopRAT, einen.NET-basierten Remote-Access-Trojaner, der Browser-Sessions übernehmen kann, und ACRStealer, einen C++-Infostealer, der Passwörter, Kreditkartendaten, Cookies und Daten aus Kryptowährungs-Wallets ausspäht.

Technik und Auswirkungen

Opfer auf Windows- und macOS-Systemen wurden auf unterschiedliche, auf ihr Betriebssystem zugeschnittene Schadcode-Pakete weitergeleitet, wobei die Routierung durch Echtzeit-Erkennung des Betriebssystems im Browser erfolgt.

Besonders besorgniserregend ist die bestätigte Langlebigkeit dieser Kampagne: Es wurden vier Smart Contracts identifiziert, die alle auf dieselbe Absender-Wallet zurückgehen, wobei der älteste Vertrag fast ein Jahr vor der Analyse bereitgestellt wurde. Dies ist kein einmaliges Experiment.

Dies ist eine langjährige, voll funktionsfähige Kampagne, die so konzipiert wurde, dass sie jedem Versuch einer Abschaltung durch jede Behörde oder jeden Sicherheitsanbieter standhält. ClearFake nutzt Smart Contracts im BSC Testnet.

Technischer Hintergrund

Die EtherHiding-Technik funktioniert dadurch, dass bösartiges JavaScript direkt in einem Smart Contract auf der BNB Smart Chain Testnet gespeichert wird, anstatt auf einem traditionellen Webhost.

Wenn ein Opfer eine kompromittierte Seite besucht, fragt der injizierte Code leise die Blockchain ab und lädt die vollständige Last in den Browser, ohne dass eine externe URL beteiligt ist.

Da Blockchain-Daten gleichzeitig auf Tausenden, gibt es keinen Server, der abgeschaltet werden kann, keine Domain, die beschlagnahmt werden kann, und keine IP-Adresse, die blockiert werden kann. ClearFake hat diese Technik verfeinert, indem das gesamte JavaScript auf der Blockchain gespeichert wird, statt lediglich eine Weiterleitungs-URL.

Sicherheitslage und Risiko

Vier Verträge erfüllten unterschiedliche Funktionen: Smart Contract A lieferte den Anti-Analyse-Dispatcher, Smart Contract B enthielt das Windows ClickFix-Overlay, Smart Contract C enthielt den macOS-Payload und Smart Contract D fungierte als On-Chain-Tracker, der jeden Kompromittierungsvorfall des Opfers in Echtzeit bestätigte.

Der Betrieb auf dem Testnetz bedeutete zudem, dass die Angreifer nichts zahlten, da Test-BNB-Token keinen monetären Wert besitzen. ClickFix-Overlay und Dual-Payload-Lieferung Nach erfolgreicher Blockchain-Abfrage sahen die Opfer ein überzeugendes gefälschtes Google reCAPTCHA-Overlay mit einem „Ich bin kein Roboter"-Checkbox.

Das Klicken darauf löste das ClickFix-Sozial-Ingenieurings-Panel aus, das gleichzeitig einen bösartigen Befehl direkt in den Zwischenabpuffer des Opfers injizierte.

Technischer Hintergrund

Windows-Nutzer wurden angewiesen, das Ausführen-Fenster zu öffnen und den Befehl einzufügen, wodurch eine entfernte DLL in den Arbeitsspeicher geladen wurde, ohne dass jemals eine Datei auf die Festplatte geschrieben wurde.

Ein auf Python basierender RAT und Shellcode-Loader wurden stillschweigend in einem Ordner installiert, der einen legitimen FileZilla FTP-Client-Verzeichnis nachahmt.

Sicherheitsteams werden empfohlen, ausgehende JSON-RPC-Verkehr zu BNB Smart Chain Testnet-RPC-Endpunkten, die mit bsc-testnet-rpc.publicnode.com beginnen, zu blockieren, wodurch der Schritt zur Abfrage des Vertrags vor der Ausführung des Payloads eliminiert wird.

Technischer Hintergrund

Das Deaktivieren des Windows WebClient-Dienstes auf Workstations, die WebDAV nicht benötigen, beseitigt den Mechanismus zur Lieferung, die den Zugriff auf das Schneidenbrett (Clipboard Write) einschränken, können den ClickFix-Schritt unterbrechen, bevor ein Opfer den injizierten Befehl ausführt.

Schulungen zur Sensibilisierung für gefälschte CAPTCHA- und ClickFix-Angriffe bleiben die erste Verteidigungslinie, da die gesamte Post-Infektionskette hier nur eine absichtliche Aktion des Opfers erforderte. Abbildung 1: Angriffsdiagramm (wie im Quelltext referenziert – Abbildung 1).

Angreiffsdiagramm Abbildung 2: View-Source-Ansicht der Schweizer Website mit dem injizierten ClearFake Stage-1-Loader Abbildung 3: Die deobfuskierte Stage-1 load()-Funktion sowie die asynchrone Blockchain-Abfrage, die eine eth_call JSON-RPC-Anfrage an Smart Contract A im BSC-Testnetz erstellt Abbildung 4: Rohes Stage-2-JavaScript, wie es in Smart Contract A gespeichert ist Abbildung 5: Das ClickFix-Sozialingenieurings-Overlay, das im Browser des Opfers gerendert wird Abbildung 6: TrendAI Vision One Ausführungsprofil, das den Payload-Lieferweg darstellt Abbildung 7: TrendAI Vision One Ausführungsprofil, das rundll32.exe zeigt, das dllhost.exe startet und entfernte Threads in chrome.exe und msedge.exe injiziert, um Browser-Credentials zu stehlen Abbildung 8: TrendAI Vision One Ausführungsprofil, das dllhost.exe zeigt, das pythonw.exe (ein stummes Python-Interpreter) und helper.py (Shellcode-Loader) in das FileZilla-Datenverzeichnis ablegt Abbildung 9: ABI-zergledderte addToList()-Transaktion auf Smart Contract D, die die on-chain-Ausführungsbestätigung durch den Angreifer darstellt Indikatoren für Kompromittierung (IoCs) Blockchain-Adresse: Indikator: 0xAdecFB75C8C0CA2b C105 17ce5B7AF99b4c2d52c9; Beschreibung: Smart Contract A (Entry-Point-Vertrag für Stage 1, enthält base64-kodierte Stage-2-JavaScript).

Technik und Auswirkungen

Blockchain-Adresse: Indikator: 0 ×46790e2Ac7F3CA5a7D1bfCe3123d11E91D23386Fw; Beschreibung: Smart Contract B (Windows-spezifisches ClickFix-Overlay-Payload). Blockchain-Adresse: Indikator: 0 ×68Dce15C1002a2689E19D33A3aE509Dd1feb11A5; Beschreibung: Smart Contract C (macOS-spezifisches Payload).

Blockchain-Adresse: Indikator: 0xf4a32588b50a59ab2fba148d4360b1A48d8b0b32A; Beschreibung: Smart Contract D (Verfolgung der Ausführungsbestätigung on-chain). Wallet-Adresse: Indikator: 0xd71f4cdC84420d2bd07F507b7A4F998b4c2d52c9; Beschreibung: Gemeinsame Bereitstellungs-Wallet für alle vier Smart Contracts.

RPC-Endpunkt: Indikator: bsc-testnet-rpc.publicnode[.]com; Beschreibung: BSC-Testnet-RPC-Endpunkt, der 1 abgefragt wird. Dateiname: Indikator: put34b.camp; Beschreibung: Remote-DLL, die vom Windows-WebClient-Dienst direkt in den Arbeitsspeicher geladen wird.

Technik und Auswirkungen

Dateiname: Indikator: pythonw.exe; Beschreibung: Stiller Python-Interpreter, der in das FileZilla-Datenverzeichnis abgelegt wurde. Hinweis: IP-Adressen und Domains wurden absichtlich defanged (z. B. [.] ) dargestellt, um eine unbeabsichtigte Auflösung oder Hyperlinkierung zu verhindern.

Defangieren Sie diese nur innerhalb kontrollierter Threat-Intelligence-Plattformen wie MISP, VirusTotal oder Ihres SIEM. Tushar ist ein Senior-Experte für Cybersecurity und Breach-Berichterstattung. Er spezialisiert sich auf die Berichterstattung über Cybersecurity-Nachrichten, Trends und aufkommende Bedrohungen, Datenpannen sowie Malware-Angriffe.

Mit jahrelanger Erfahrung bringt er Klarheit und Tiefe in komplexe Sicherheitsthemen. Kritische Sicherheitslücke in OpenVPN Connect für macOS: Angreifer können beliebige Befehle ausführen. Neue Angriffskette öglicht vollständige Übernahme, indem sie deren SSD-Timing-Aktivität analysieren.