Los investigadores de seguridad cibernética advierten contra una nueva campaña de malware que emplea tácticas de ingeniería social de ClickFix para descargar información de malware Steeler Steeler llamado Atomic MacOS Staaler (AMOS) en los sistemas Apple MacOS.
Según CloudSek, se sabe que la campaña aprovecha el dominio de los tytriposquat imitando el espectro del proveedor de telecomunicaciones estadounidense.
«Los usuarios de MacOS recibirán scripts de shell maliciosos diseñados para robar contraseñas del sistema y descargar variantes de AMOS para una mayor explotación», dijo el investigador de seguridad Koushik Pal en un informe publicado esta semana. «Este script utiliza comandos de macOS nativos para cosechar credenciales, omitir mecanismos de seguridad y ejecutar binarios maliciosos».
Esta actividad se considera una obra de ciberdelincuentes de habla rusa, ya que hay comentarios rusos en el código fuente del malware.
El ataque comienza en una página web que se hace pasar por el espectro («PanelSpectrum (.) Net» o «Spectrum-Ticket (.) Net»). Los visitantes del sitio en cuestión recibirán un mensaje que les indique que complete la verificación de validación de HCAPTCHA para «asegurar» la seguridad de su conexión antes de continuar.
Sin embargo, cuando el usuario hace clic en la casilla de verificación «Soy humano» para su evaluación, recibe un mensaje de error que dice que «la validación de Captcha falló» y le pide que haga clic en el botón para continuar con «Validación alternativa».
Hacerlo copiará el comando al portapapeles del usuario y la víctima recibirá una serie de instrucciones, dependiendo del sistema operativo. Se guía a abrir el diálogo Ejecutar Windows y ejecutar los comandos de PowerShell en Windows, pero será reemplazado por un script de shell que se ejecuta iniciando la aplicación Terminal en MacOS.
Para esa parte, el script de shell le solicita al usuario que ingrese la contraseña del sistema y descarga la carga útil de la siguiente etapa, un Steeler conocido conocido como robador atómico.
«La lógica insuficiente en los sitios de distribución, como los índices de inconsistencia entre plataformas, apunta a una infraestructura construida apresuradamente», dijo Pal.
«La página de distribución para este problema de la campaña de variantes de AMOS contenía inexactitudes tanto en programación como en la lógica frontal. Para los agentes de usuarios de Linux, se copió el comando PowerShell. Además, la instrucción» Hold Windows Key + R «se mostró para los usuarios de Windows y Mac».
Esta divulgación se produce en medio del uso de tácticas de ClickFix para aumentar las campañas y proporcionar una amplia gama de familias de malware durante el año pasado.
«Los actores que realizan estos ataques objetivo generalmente usan técnicas, herramientas y procedimientos similares (TTP) para obtener acceso inicial», dijo Darktrace. «Estos incluyen proporcionar cargas útiles maliciosas para explotar los ataques de phishing de lanza, los compromisos de manejo o para abusar de la confianza en plataformas en línea familiares como GitHub».
Los enlaces distribuidos con estos vectores generalmente se dirigen a redirigir a los usuarios finales a URL maliciosas que muestran verificaciones de validación de captcha falsas e intentan completarlos para engañar a los usuarios para que engañen a los usuarios si están llevados a ejecutar comandos maliciosos para solucionar problemas inexistentes.
El resultado final de este método efectivo de ingeniería social es que los usuarios pueden comprometer sus propios sistemas y omitir efectivamente los controles de seguridad.
Un incidente de abril de 2025 analizado por DarkTrace utiliza ClickFix como un vector de ataque para profundizar en el entorno de destino, realizar movimientos laterales y enviar información relacionada con el sistema a un servidor externo a través de solicitudes de publicación HTTP y, en última instancia, eliminar los datos de datos.
«El cebo de ClickFix es una táctica ampliamente utilizada que las amenazas de los actores aprovechan el error humano para evitar las defensas de seguridad», dice DarkTrace. «Al engañar a los usuarios de Endpoint para realizar acciones aparentemente inofensivas y cotidianas, los atacantes obtienen acceso inicial a los sistemas que pueden acceder y escalar datos confidenciales».
Otros ataques de ClickFix utilizan versiones falsas de otros servicios populares de Captcha, como Google Recaptcha y Cloudflare Turnstile, para proporcionar entrega de malware bajo la apariencia de controles de seguridad diarios.
Estas páginas falsas son «copias perfectas de píxeles» de homólogos legales, que a veces pueden engañar a los usuarios para inyectar en sitios web pirateados reales. Los acero como Lumma y STEALC, así como troyanos de acceso remoto de pleno derecho como NetSupport Rat, son parte de la carga útil distribuida a través de páginas de estilo de tornillo falsas.
«Los usuarios modernos de Internet están condicionados a hacer clic en las verificaciones de spam, capturas y indicaciones de seguridad en sus sitios web lo antes posible», dijo Daniel Kelley de SlashNext. «Los atacantes saben que aprovecharán esta ‘fatiga de validación’ y seguirán los pasos presentados cuando muchos usuarios lo ven como todos los días».
Source link
