# ClearFake Campaign > [!high] Cluster de sites comprometidos via WordPress que exibe falsas atualizações de navegador - 9.300+ sites infectados entregando Lumma Stealer via blockchain > O ClearFake é o maior cluster de distribuição de malware via fake browser updates ativo desde julho de 2023. Utilizando a técnica EtherHiding para hospedar payloads em contratos inteligentes da Binance Smart Chain, o cluster comprometeu mais de 9.300 sites WordPress para apresentar overlays convincentes de atualização do Chrome. Em 2024-2025, evoluiu para entregar Emmenhtal Loader e Lumma Stealer via ClickFix como técnica de engenharia social. ## Visão Geral O ClearFake representa a maior e mais persistente campanha de distribuição de malware via falsas atualizações de navegador já documentada. Ativo desde julho de 2023 e atribuído ao cluster TA2726, o ClearFake compromete sites WordPress com JavaScript malicioso que apresenta overlays convincentes simulando alertas de atualização do Google Chrome - instruindo usuários a "atualizar" o navegador, o que na prática baixa e executa malware. O diferencial técnico que tornou o ClearFake resiliente a takedowns é o **EtherHiding**: os payloads não são hospedados em servidores tradicionais que podem ser derrubados, mas em **contratos inteligentes da Binance Smart Chain**. A blockchain é imutável e descentralizada - não há como "derrubar" um contrato implantado. O JavaScript injetado nos sites comprometidos faz chamadas à blockchain para obter o endereço atual do payload, tornando a infraestrutura extremamente resistente a ações de resposta. Em 2024, o ClearFake evoluiu incorporando a técnica [[clickfix-campaign|ClickFix]]: em vez de apresentar um botão de download tradicional, o overlay exibe uma mensagem de erro falsa instruindo o usuário a abrir o PowerShell e colar um comando - reduzindo ainda mais as chances de detecção por AV, pois o próprio usuário executa o código. Essa combinação tornou o ClearFake uma das técnicas de distribuição mais eficazes do período. O impacto é global e crescente: em março de 2025, 9.300+ sites WordPress comprometidos serviam lures ClearFake para aproximadamente 200.000 usuários por mês. Os malwares entregues evoluíram de [[netsupport-rat|NetSupport RAT]] para cadeia mais sofisticada incluindo [[emmenhtal-loader|Emmenhtal Loader]] e [[lumma-stealer|Lumma Stealer]] - infostealer de alto valor que extrai credenciais de navegadores, carteiras de criptomoedas e tokens de sessão. ## Attack Flow ```mermaid graph TB A["Site WordPress Comprometido<br/>Injeção JavaScript maliciosa<br/>ao carregar a página"] --> B["Overlay Falso<br/>Simulação de alerta Chrome<br/>sua versão está desatualizada"] B --> C["EtherHiding<br/>JS consulta Binance BSC<br/>obtém URL do payload atual"] C --> D["Download do Loader<br/>Emmenhtal Loader ou<br/>script PowerShell via ClickFix"] D --> E["Execução<br/>Usuário clica em botão<br/>ou cola comando no PowerShell"] E --> F["Lumma Stealer<br/>Credenciais, cookies, carteiras<br/>crypto exfiltrados ao C2"] ``` > **Cluster:** TA2726/ClearFake | **Técnica:** EtherHiding via Binance BSC | **Sites comprometidos:** 9.300+ ## Cronologia ```mermaid timeline title ClearFake Campaign - Evolução 2023-07 : ClearFake identificado - primeiros overlays fake Chrome update 2023-10 : EtherHiding adotado - payloads migram para Binance Smart Chain 2024-02 : ClickFix integrado - overlays passam a usar PowerShell via clipboard 2024-06 : Emmenhtal Loader adicionado como staged delivery 2024-09 : Lumma Stealer substitui NetSupport RAT como payload principal 2025-01 : 5.000 sites comprometidos ativamente 2025-03 : 9.300 sites confirmados - 200.000 usuários expostos mensalmente 2025-06 : Expansão para lures em espanhol e português - foco LATAM ``` ## TTPs Utilizadas | Técnica | ID | Descrição | |---------|-----|-----------| | Drive-by Compromise | [[t1189-drive-by-compromise\|T1189]] | Sites WordPress comprometidos com JS que serve overlay ao carregar | | Web Service | [[t1102-web-service\|T1102]] | EtherHiding - payloads hospedados em contratos Binance Smart Chain | | JavaScript | [[t1059-007-javascript\|T1059.007]] | Injeção JS para renderizar overlay e consultar blockchain | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Execução ClickFix - usuário cola e executa script malicioso | | Command Obfuscation | [[t1027-010-command-obfuscation\|T1027.010]] | Scripts ofuscados para evadir detecção de AV nos stages intermediários | | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Variante com HTML attachments simulando documentos com erro | ## Vítimas e Impacto **Escala da infraestrutura comprometida:** - 9.300+ sites WordPress com código JavaScript ClearFake injetado - 200.000 usuários expostos mensalmente a lures de atualização falsa - Payloads hospedados em Binance Smart Chain - resistentes a takedown **Setores mais afetados:** - [[financial|Financeiro]] - credenciais bancárias e carteiras de criptomoedas como alvo do Lumma Stealer - [[technology|Tecnologia]] - tokens de sessão e credenciais de SaaS e serviços cloud - [[healthcare|Saúde]] - sites de hospitais e clínicas comprometidos como vetores de entrega **Evolução do arsenal:** - 2023: NetSupport RAT (acesso remoto) - 2024: DarkGate, AsyncRAT (backdoors) - 2025: Emmenhtal Loader + Lumma Stealer (staged delivery otimizada) ## Relevância LATAM e Brasil O ClearFake representa risco concreto para usuários brasileiros por múltiplos fatores: - **Lures em português**: a partir de meados de 2025, overlays ClearFake passaram a incluir versões em português brasileiro - mensagens de "Atualização necessária para o Chrome" com texto localizado aumentam a taxa de engajamento - **Sites brasileiros comprometidos**: domínios .com.br com WordPress legado estão entre os vetores de entrega documentados em campanhas regionais - **[[lumma-stealer|Lumma Stealer]] e bancos brasileiros**: o infostealer possui módulos específicos para extrair credenciais de Internet Banking de instituições como Banco do Brasil, Itaú, Bradesco e Santander via injeção em navegadores - **Integração com ClickFix**: a campanha [[clickfix-campaign|ClickFix]] que tem alvos documentados no Brasil usa exatamente o mesmo overlay de falso erro do ClearFake, com a adição do passo de execução de PowerShell ## Mitigação **Controles para usuários:** - Nenhum site legítimo solicita atualização do Chrome via pop-up - use sempre o menu interno do navegador - Habilitar atualizações automáticas do Chrome (Settings > About Google Chrome) para receber patches sem pop-up - Usar extensão de bloqueio de scripts (uBlock Origin) para evitar execução de JavaScript malicioso **Controles técnicos:** - Aplicar [[m1021-restrict-web-based-content|M1021]] - filtros de web para domínios com histórico de comprometimento ClearFake - Bloquear execução de PowerShell por usuários sem privilégios administrativos (AppLocker/WDAC) - Monitorar via [[ds-0022-file-access|DS-0022]] - execuções de powershell.exe spawned por processos de navegador ## Referências - [1](https://thehackernews.com/2025/03/clearfake-infects-9300-sites-uses-fake.html) The Hacker News - ClearFake Infects 9,300 Sites (2025) - [2](https://www.trendmicro.com/en_us/research/24/c/fake-browser-update-clearfake.html) Trend Micro - Fake Browser Update ClearFake Analysis (2024) - [3](https://www.kroll.com/en/publications/cyber/clearfake-update-tricks-victim-executing-malicious-powershell-code) Kroll - ClearFake Update: Tricks Victim into Executing PowerShell (2024) - [4](https://www.proofpoint.com/us/blog/threat-insight/security-brief-ta2726-and-ta2727-updates-and-clearfake) Proofpoint - TA2726 and TA2727 Updates and ClearFake (2024) - [5](https://unit42.paloaltonetworks.com/clearfake-campaign-evolution/) Unit 42 - ClearFake Campaign Evolution (2024)