Una sofisticada táctica de ingeniería social conocida como “ClickFix” ha surgido como una grave amenaza de ciberseguridad que aprovecha páginas falsas de reuniones de Google Meet y Zoom para distribuir software malicioso.
Identificado por primera vez en mayo de 2024, este esquema engañoso ya ha llamado la atención entre varios actores de amenazas, incluido el famoso grupo APT28. Las técnicas de ataque son sorprendentemente consistentes en las diferentes variantes.
A las víctimas se les presenta un mensaje de error fraudulento que parece ser una plataforma de videoconferencia legítima con problemas falsos con micrófonos y auriculares.
Luego, se guía al usuario a través de pasos aparentemente inofensivos que terminan comprometiendo el sistema.
Sekoia ThreatDetection & Research descubrió que los usuarios podían presionar Windows + R para abrir un cuadro de diálogo Ejecutar comando y luego presionar Ctrl + V para copiar secretamente código malicioso al portapapeles a través de JavaScript. Observamos que las infecciones comienzan cuando se les indica que lo peguen.
En el paso final, al presionar “Enter” se ejecuta el comando malicioso. Normalmente utiliza PowerShell o Mshta para descargar e implementar cargas útiles.
Cree un SOC interno o subcontrate SOC como servicio -> Calcule el costo
Lo que hace que ClickFix sea particularmente peligroso es su uso inteligente del Explorador de Windows como proceso principal, lo que hace que su actividad maliciosa parezca más legítima y más difícil de detectar.
Rutina de infección Clickfix (Fuente: Sekoia)
La cadena de ataque varía según el sistema operativo: los usuarios de macOS son el objetivo de las descargas directas del malware Amos Stealer, mientras que los usuarios de Windows se enfrentan a una rutina de infección más compleja.
Las cadenas de infección de Windows suelen seguir dos escenarios principales. El primer ataque aprovecha el comando mshta para ejecutar código malicioso y el segundo utiliza un script de PowerShell.
En última instancia, ambos métodos conducen a la descarga y ejecución del malware de robo de información.
Los investigadores de seguridad han observado que la infraestructura de ataque incluye varios componentes.
Páginas de videoconferencia falsas que imitan fielmente la plataforma legítima. Código JavaScript sofisticado para manipular el portapapeles del sistema. Múltiples servidores de comando y control para la entrega de carga útil. Técnicas de evasión sofisticadas para evitar la detección.
Esta amenaza se ha vuelto tan significativa que CERT UA ha emitido un informe formal vinculando algunos de estos ataques con APT28, indicando que los actores de amenazas de estados-nación están incorporando esta técnica en sus arsenales.
Para protegerse contra los ataques de ClickFix, recomendamos que las organizaciones hagan lo siguiente:
Implemente una solución sólida de detección y respuesta de endpoints (EDR). Supervise la actividad sospechosa de PowerShell y mshta.exe. Introducir mecanismos de detección a nivel de red. Eduque a los usuarios sobre las mejores prácticas de seguridad para videoconferencias.
Esta nueva amenaza pone de relieve la naturaleza cambiante de los ataques de ingeniería social y la creciente sofisticación de los ataques que imitan servicios legítimos.
A medida que ClickFix continúa evolucionando y ganando adopción entre una variedad de actores de amenazas, los equipos de seguridad deben permanecer atentos y adaptar sus estrategias de detección y prevención en consecuencia.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
