Una combinación de métodos de propagación, sofisticación narrativa y técnicas de evasión permitió la táctica de ingeniería social conocida como Clickfix Para despegar de la manera en que lo hizo durante el año pasado, según nuevos hallazgos de Guardio Labs.
«Como una variante de virus del mundo real, esta nueva ‘Clickfix«La tensión superó rápidamente y finalmente eliminó la infame estafa de actualización de navegador falso que plagó la web el año pasado», dijo el investigador de seguridad Shaked Chen en un informe compartido con Hacker News.
«Lo hizo eliminando la necesidad de descargas de archivos, utilizando tácticas de ingeniería social más inteligente y propagando a través de una infraestructura confiable. El resultado: una ola de infecciones que van desde ataques de conducción masiva hasta los señuelos de phishing de lanza hiper objetivo».
ClickFix es el nombre dado a una táctica de ingeniería social donde los objetivos prospectivos se engañan para infectar sus propias máquinas bajo la apariencia de solucionar un problema inexistente o una verificación Captcha. Se detectó por primera vez en la naturaleza a principios de 2024.
En estos ataques, los vectores de infección tan diversos como los correos electrónicos de phishing, las descargas de transmisión, la malvertición y el envenenamiento de optimización de motores de búsqueda (SEO) se emplean para dirigir a los usuarios a fingir páginas que muestran los mensajes de error.
Estos mensajes tienen un objetivo: guiar a las víctimas para seguir una serie de pasos que causan un comando malicioso encogido a su portapapeles que se ejecuta cuando se pegan en el cuadro de diálogo Windows Run o en la aplicación Terminal, en el caso de Apple MacOS.
El comando nefasto, a su vez, desencadena la ejecución de una secuencia de varias etapas que resulta en el despliegue de varios tipos de malware, como robadores, troyanos de acceso remoto y cargadores, lo que subraya la flexibilidad de la amenaza.
La táctica se ha vuelto tan efectiva y potente que ha llevado a lo que Guardio llama un Captchageddon, con actores cibercriminales y de estado-nación que lo empuñan en docenas de campañas en un corto período de tiempo.
ClickFix es una mutación más sigilosa de ClearFake, que implica aprovechar los sitios de WordPress comprometidos para servir a las ventanas emergentes de actualización del navegador falso que, a su vez, entregan malware de Stealer. Posteriormente, Clearfake incorporó tácticas de evasión avanzadas como Etherhiding para ocultar la carga útil de la próxima etapa utilizando los contratos de cadena inteligente (BSC) de Binance.
Guardio dijo que la evolución de ClickFix y su éxito es el resultado del refinamiento constante en términos de vectores de propagación, la diversificación de los señuelos y los mensajes, y los diferentes métodos utilizados para adelantarse a la curva de detección, tanto que finalmente suplantó Clearfake.
«Las primeras indicaciones fueron genéricas, pero rápidamente se volvieron más persuasivos, agregando señales de urgencia o sospecha», dijo Chen. «Estos ajustes aumentaron las tasas de cumplimiento al explotar la presión psicológica básica».
Algunas de las formas notables en que se ha adaptado el enfoque de ataque incluyen el abuso de los scripts de Google para alojar los flujos de captcha falsos, aprovechando así la confianza asociada con el dominio de Google, así como para integrar la carga útil dentro de fuentes de archivos de aspecto legítimo como Socket.io.min.js.
«Esta escalofriante lista de técnicas: ofuscación, carga dinámica, archivos de aspecto legítimo, manejo multiplataforma, entrega de carga útil de terceros y abuso de hosts de confianza como Google) demuestra cómo los actores de amenaza se han adaptado continuamente para evitar la detección», agregó Chen.
«Es un marcado recordatorio de que estos atacantes no solo están refinando sus señuelos de phishing o las tácticas de ingeniería social, sino que están invirtiendo fuertemente en métodos técnicos para garantizar que sus ataques sigan siendo efectivos y resistentes contra las medidas de seguridad».