Una combinación de métodos de propagación, narrativa sofisticada y técnicas de evasión permitió que la táctica de ingeniería social conocida como ClickFix alcanzara su máximo auge durante el último año, según nuevos hallazgos de Guardio Labs.
ClickFix es el nombre que se le da a una táctica de ingeniería social en la que se engaña a posibles víctimas para que infecten sus propios equipos con el pretexto de solucionar un problema inexistente o una verificación CAPTCHA. Se detectó por primera vez en la red a principios de 2024.
En estos ataques, se emplean vectores de infección tan diversos como correos electrónicos de phishing, descargas no autorizadas, publicidad maliciosa y envenenamiento SEO para dirigir a los usuarios a páginas falsas que muestran mensajes de error.
Estos mensajes tienen un objetivo: guiar a las víctimas para que sigan una serie de pasos que hacen que un comando malicioso copiado de forma encubierta en su portapapeles se ejecute al pegarlo en el cuadro de diálogo Ejecutar de Windows o en la aplicación Terminal, en el caso de macOS.
El comando malicioso, a su vez, desencadena la ejecución de una secuencia de varias etapas que resulta en la implementación de diversos tipos de malware, como ladrones, troyanos de acceso remoto y cargadores, lo que subraya la flexibilidad de la amenaza.
La táctica se ha vuelto tan efectiva y potente que ha dado lugar a lo que Guardio denomina un CAPTCHAgeddon, con actores tanto cibercriminales como estatales utilizándola en docenas de campañas en un corto período de tiempo.
ClickFix es una variante más sigilosa de ClearFake, que consiste en aprovechar sitios web de WordPress comprometidos para mostrar ventanas emergentes falsas de actualización del navegador que, a su vez, distribuyen malware ladrón. Posteriormente, ClearFake incorporó tácticas de evasión avanzadas como EtherHiding para ocultar la carga útil de la siguiente etapa mediante los contratos de la Smart Chain (BSC) de Binance.
Guardio afirmó que la evolución de ClickFix y su éxito son el resultado del perfeccionamiento constante de los vectores de propagación, la diversificación de los señuelos y los mensajes, y los diferentes métodos utilizados para anticiparse a la curva de detección, hasta el punto de que finalmente suplantó a ClearFake.
Algunas de las formas notables en que se ha adaptado el enfoque de ataque incluyen el abuso de Google Scripts para alojar los flujos de CAPTCHA falsos, aprovechando así la confianza asociada al dominio de Google, así como la incrustación de la carga útil en fuentes de archivos de apariencia legítima, como socket.io.min.js.
"Esta escalofriante lista de técnicas —ofuscación, carga dinámica, archivos de apariencia legítima, gestión multiplataforma, entrega de carga útil de terceros y abuso de hosts de confianza como Google— demuestra cómo los actores de amenazas se han adaptado continuamente para evitar la detección", añadió Chen. Es un duro recordatorio de que estos atacantes no solo están perfeccionando sus estrategias de phishing o ingeniería social, sino que están invirtiendo considerablemente en métodos técnicos para garantizar que sus ataques sigan siendo eficaces y resistentes a las medidas de seguridad.
Fuente: THN