Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña que aprovecha una combinación de señuelos ClickFix y sitios web falsos para adultos para engañar a los usuarios para que ejecuten comandos maliciosos bajo la apariencia de una actualización de seguridad «crítica» de Windows.
«La campaña aprovecha sitios web falsos para adultos (xHamster, clones de PornHub) como mecanismo de phishing, probablemente distribuido a través de publicidad maliciosa», dijo Acronis en un nuevo informe compartido con The Hacker News. «El tema adulto y la posible conexión a sitios web sospechosos aumentan la presión psicológica de la víctima para que cumpla con la instalación repentina de una ‘actualización de seguridad'».
Los ataques de estilo ClickFix han aumentado durante el último año y, por lo general, engañan a los usuarios para que ejecuten comandos maliciosos en sus propias máquinas mediante solicitudes de correcciones técnicas o completando comprobaciones de verificación CAPTCHA. Según datos de Microsoft, ClickFix se ha convertido en el método de acceso inicial más común, representando el 47% de los ataques.
La última campaña muestra pantallas de actualización de Windows falsas y muy convincentes en un intento de lograr que la víctima ejecute código malicioso, lo que indica que los atacantes se están alejando de los tradicionales señuelos de verificación de robots. La actividad ha sido nombrada en código. JackFix por la empresa de ciberseguridad con sede en Singapur.
Quizás el aspecto más preocupante del ataque es que la falsa alerta de actualización de Windows secuestra toda la pantalla e indica a la víctima que abra el cuadro de diálogo Ejecutar de Windows, presione Ctrl + V y presione Enter, lo que desencadena la secuencia de infección.
Se evalúa que el punto de partida del ataque es un sitio falso para adultos al que los usuarios desprevenidos son redirigidos mediante publicidad maliciosa u otros métodos de ingeniería social, sólo para de repente ofrecerles una «actualización de seguridad urgente». Se ha descubierto que iteraciones seleccionadas de los sitios incluyen comentarios de desarrolladores en ruso, lo que sugiere la posibilidad de que haya un actor de amenazas de habla rusa.
«La pantalla de Windows Update se crea completamente usando código HTML y JavaScript, y aparece tan pronto como la víctima interactúa con cualquier elemento en el sitio de phishing», dijo el investigador de seguridad Eliad Kimhy. «La página intenta ir a pantalla completa mediante código JavaScript, mientras que al mismo tiempo crea una ventana de Windows Update bastante convincente compuesta por un fondo azul y texto blanco, que recuerda a la infame pantalla azul de la muerte de Windows».
Lo notable del ataque es que se basa en gran medida en la ofuscación para ocultar el código relacionado con ClickFix, además de bloquear a los usuarios para que no escapen de la alerta de pantalla completa al desactivar los botones Escape y F11, junto con las teclas F5 y F12. Sin embargo, debido a una lógica defectuosa, los usuarios aún pueden presionar los botones Escape y F11 para deshacerse de la pantalla completa.
El comando inicial ejecutado es una carga útil MSHTA que se inicia utilizando el binario mshta.exe legítimo, que, a su vez, contiene JavaScript diseñado para ejecutar un comando de PowerShell para recuperar otro script de PowerShell desde un servidor remoto. Estos dominios están diseñados de manera que la navegación directa a estas direcciones redirija al usuario a un sitio benigno como Google o Steam.
«Sólo cuando se accede al sitio a través de un comando irm o iwr PowerShell responde con el código correcto», explicó Acronis. «Esto crea una capa adicional de confusión y prevención de análisis».
El script de PowerShell descargado también incluye varios mecanismos de ofuscación y antianálisis, uno de los cuales es el uso de código basura para complicar los esfuerzos de análisis. También intenta elevar los privilegios y crea exclusiones de Microsoft Defender Antivirus para direcciones y rutas de comando y control (C2) donde se almacenan las cargas útiles.
Para lograr una escalada de privilegios, el malware utiliza el cmdlet Start-Process junto con el parámetro «-Verb RunAs» para iniciar PowerShell con derechos administrativos y solicita permiso continuamente hasta que la víctima lo concede. Una vez que este paso se realiza correctamente, el script está diseñado para eliminar cargas útiles adicionales, como simples troyanos de acceso remoto (RAT) que están programados para contactar a un servidor C2, presumiblemente para eliminar más malware.
También se ha observado que el script de PowerShell sirve hasta ocho cargas útiles diferentes, y Acronis lo describe como el «ejemplo más atroz de rociar y rezar». Estos incluyen Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey, así como otros cargadores y RAT no especificados.
«Si sólo una de estas cargas logra ejecutarse con éxito, las víctimas corren el riesgo de perder contraseñas, billeteras criptográficas y más», dijo Kimhy. «En el caso de algunos de estos cargadores, el atacante puede optar por incorporar otras cargas útiles al ataque, y el ataque puede escalar aún más rápidamente».
La divulgación se produce cuando Huntress detalló una cadena de ejecución de malware de varias etapas que se origina a partir de un señuelo ClickFix disfrazado de actualización de Windows e implementa malware ladrón como Lumma y Rhadamanthys al ocultar las etapas finales dentro de una imagen, una técnica conocida como esteganografía.
Como en el caso de la campaña antes mencionada, el comando ClickFix copiado en el portapapeles y pegado en el cuadro de diálogo Ejecutar usa mshta.exe para ejecutar una carga útil de JavaScript que es capaz de ejecutar un script de PowerShell alojado de forma remota directamente en la memoria.
El código PowerShell se utiliza para descifrar e iniciar una carga útil de ensamblaje .NET, un cargador denominado Stego Loader que sirve como conducto para la ejecución de código shell empaquetado en Donut oculto dentro de un archivo PNG incrustado y cifrado. Luego, el código shell extraído se inyecta en un proceso de destino para, en última instancia, implementar Lumma o Rhadamanthys.
Curiosamente, Acronis también ha marcado uno de los dominios enumerados por Huntress como utilizado para recuperar el script de PowerShell («securitysettings(.)live»), lo que sugiere que estos dos grupos de actividades pueden estar relacionados.
«El actor de amenazas a menudo cambia el URI (/tick.odd, /gpsc.dat, /ercx.dat, etc.) utilizado para alojar la primera etapa mshta.exe», dijeron los investigadores de seguridad Ben Folland y Anna Pham en el informe.
«Además, el actor de amenazas pasó de alojar la segunda etapa en la configuración de seguridad del dominio (.) en vivo y en su lugar alojarla en xoiiasdpsdoasdpojas (.) com, aunque ambos apuntan a la misma dirección IP 141.98.80 (.) 175, que también se usó para entregar la primera etapa (es decir, el código JavaScript ejecutado por mshta.exe)».
ClickFix ha tenido un gran éxito porque se basa en un método simple pero efectivo, que consiste en atraer al usuario para que infecte su propia máquina y eluda los controles de seguridad. Las organizaciones pueden defenderse contra tales ataques capacitando a los empleados para detectar mejor la amenaza y deshabilitando la casilla Ejecutar de Windows mediante cambios en el Registro o Política de grupo.