La táctica de ingeniería social de ClickFix como un vector de acceso inicial que utiliza verificaciones falsas de captcha aumentó en un 517% entre la segunda mitad de 2024 y la primera mitad de este año, según datos de ESET.
«La lista de amenazas a las que los ataques de clickFix conducen es crecer durante el día, incluidos los infostadores, el ransomware, los troyanos de acceso remoto, los criptominadores, las herramientas de explotación posterior e incluso el malware personalizado de los actores de amenazas alineados en el estado-nación», dijo Jiří Kropáč, director de laboratorios de prevención de amenazas en ESET,.
ClickFix se ha convertido en un método ampliamente popular y engañoso que emplea mensajes de error falsos o verificaciones de verificación Captcha para atraer a las víctimas a copiar y pegar un script malicioso en el diálogo de Windows Ejecutar o la aplicación Terminal Apple MacOS, y ejecutarlo.
La compañía de ciberseguridad eslovacas dijo que el mayor volumen de detecciones de clickfix se concentra alrededor de Japón, Perú, Polonia, España y Eslovaquia.
La prevalencia y la efectividad de este método de ataque han llevado a que los actores de amenaza publicitaran a los constructores que brindan a otros atacantes páginas de destino con unir, agregó ESET.
Desde ClickFix a FileFix
El desarrollo se produce cuando el investigador de seguridad MRD0X demostró una alternativa de prueba de concepto (POC) a ClickFix con nombre de FileFix que funciona al engañar a los usuarios para copiar y pegar una ruta de archivo en Windows File Explorer.
La técnica esencialmente implica lograr lo mismo que ClickFix pero de manera diferente combinando la capacidad del Explorador de archivos para ejecutar comandos del sistema operativo a través de la barra de direcciones con la función de carga de archivos de un navegador web.
En el escenario de ataque ideado por el investigador, un actor de amenaza puede idear una página de phishing que, en lugar de mostrar una verificación de captcha falsa al objetivo prospectivo, presenta un mensaje que indica que un documento se ha compartido con ellos y que necesitan copiar y pegar la ruta del archivo en la barra de direcciones presionando Ctrl + L.
La página de phishing también incluye un destacado «Explorador de archivos abiertos» que, al hacer clic, abre el explorador de archivos y copia un comando de PowerShell malicioso al portapapeles del usuario. Por lo tanto, cuando la víctima pega la «ruta del archivo», el comando del atacante se ejecuta en su lugar.
Esto, a su vez, se logra alterando la ruta del archivo copiado para prever el comando PowerShell antes de seguir agregando espacios para ocultarlo de la vista y un signo de libra («#») para tratar la ruta del archivo falso como un comentario: «Powershell.exe -c ping ejemplo.com
«Además, nuestro comando PowerShell concatenará la ruta del archivo ficticio después de un comentario para ocultar el comando y mostrar la ruta del archivo», dijo MRD0X.
Abundancia de phishing en abundancia
El aumento en las campañas de ClickFix también coincide con el descubrimiento de varias campañas de phishing en las últimas semanas que –
- Aproveche un dominio .gov para enviar correos electrónicos de phishing que se disfrazan de peaje no remunerado para llevar a los usuarios a páginas falsas diseñadas para recopilar su información personal y financiera
- Utilice los dominios de larga vida (LLDS), una técnica llamada envejecimiento de dominio estratégico, para alojar o usarlos para redirigir a los usuarios a las páginas de control de captcha personalizadas, completando las que se llevan a las páginas de equipos de Microsoft falsificadas para robar sus credenciales de cuenta de Microsoft.
- Distribuya los archivos de Malicioso Windows Shortcut (LNK) dentro de ZIP Archives para iniciar el código PowerShell responsable de implementar REMCOS RAT
- Emplee señuelos que supuestamente advierten a los usuarios que su buzón está casi lleno y que necesitan «borrar el almacenamiento» haciendo clic en un botón integrado en el mensaje, realizando lo que lleva al usuario a una página de phishing alojada en IPF que roba las credenciales de correo electrónico de los usuarios. Curiosamente, los correos electrónicos también incluyen un archivo adjunto de archivo RAR que, una vez extraído y ejecutado, deja caer el malware Xworm.
- Incorporar una URL que deja a un documento PDF, que, a su vez, contiene otra URL que deja caer un archivo postal, que incluye un ejecutable responsable de lanzar un robador de lumma basado en autopsia
- Arma una plataforma frontal legítima llamada Vercel
- Iguas a los departamentos estatales de los Vehículos Motorizados (DMV) de EE. UU. Para enviar mensajes SMS sobre violaciones de peaje no remuneradas y redirigir a los receptores a sitios engañosos que cosechan información personal y detalles de la tarjeta de crédito
- Utilice correos electrónicos con temas de SharePoint para redirigir a los usuarios a las páginas de cosecha de credenciales alojadas en los dominios «.Sharepoint (.) Com» que desvíe las contraseñas de la cuenta de Microsoft de los usuarios.
«Los correos electrónicos que contienen enlaces de SharePoint tienen menos probabilidades de ser marcados como maliciosos o phishing por EDR o software antivirus. Los usuarios también tienden a ser menos sospechosos, creyendo que los enlaces de Microsoft son inherentemente más seguros», dijo Cyberproof.
«Dado que las páginas de phishing se alojan en SharePoint, a menudo son dinámicas y accesibles solo a través de un enlace específico durante un tiempo limitado, lo que las hace más difíciles para los rastreadores automatizados, escáneres y cajas de arena para detectar».