Según los datos de ESET, las tácticas de ingeniería social de ClickFix como vectores de acceso iniciales que utilizan la validación de captura falsa aumentaron en un 517% entre la segunda mitad de 2024 y la primera mitad de este año.
«La lista de amenazas lideradas por los ataques de clickfix crece día a día, incluidos los infantes de infantes de infantes, ransomware, troyanos de acceso remoto, criptominantes, herramientas de explotación e incluso malware personalizado de actores de amenazas paralelas en estado-nación», dijo el director del Laboratorio de Prevención de Amenazas de ESET.
ClickFix emplea mensajes de error falsos o verificaciones de validación de Captcha para engañar a las víctimas y pegar scripts maliciosos en un cuadro de diálogo de Windows Run o la aplicación Apple MacOS Terminal para ejecutar y ejecutar, ejecutar y ejecutar.
La compañía de ciberseguridad eslovaca dijo que la mayoría de las detecciones de ClickFix se concentran en Japón, Perú, Polonia, España y Eslovaquia.
La prevalencia y la efectividad de este método de ataque condujeron a los constructores de anuncios para los actores de amenaza que proporcionan páginas de destino congramadas con ClickFix a otros atacantes, agregó ESET.
Desde ClickFix a FileFix
Este desarrollo involucra al investigador de seguridad MRD0X que demuestra una prueba de concepto (POC) para reemplazar FileFix llamado ClickFix, lo que significa copiar y pegar la ruta del archivo al usuario y pegarla al Explorador de archivos de Windows.
Esta técnica implica lograr esencialmente lo mismo que ClickFix, pero se logra de manera diferente combinando la funcionalidad del Explorador de archivos, que utiliza la función de carga de archivos de un navegador web para ejecutar comandos del sistema operativo a través de la barra de direcciones.
En escenarios de ataque ideados por los investigadores, los actores de amenaza pueden diseñar páginas de phishing. En lugar de mostrar verificaciones de captcha falsas en objetivos futuros, la página de phishing puede presentar un mensaje que dice que el documento se compartirá y que debe copiar y pegar la ruta del archivo en la barra de direcciones presionando Ctrl+L.
La página de phishing también incluye el notable «Abrir Explorer de archivos» que abre el Explorador de archivos cuando se hace clic y copia los comandos de PowerShell maliciosos al portapapeles del usuario. Entonces, si la víctima pega la «ruta del archivo», el comando del atacante se ejecutará en su lugar.
Esto se logra cambiando la ruta del archivo copiado y prepare el comando PowerShell. Luego agrega espacio para ocultar el espacio desde la vista y el letrero de la libra («#») y trata las rutas de archivos falsos como comentarios.
«Además, el comando PowerShell concatena la ruta del archivo ficticio después del comentario para ocultar el comando y mostrar la ruta del archivo», dijo MRD0X.
Hay muchas campañas de pesca
El aumento en las campañas de ClickFix también es consistente con los descubrimientos de varias campañas de phishing.
Aproveche el dominio .gov para enviar correos electrónicos de phishing a medida que no pagan y enviar páginas falsas diseñadas para usar páginas falsas (LLDS) diseñadas para recopilar información personal y financiera. El archivo de acceso directo (LNK) en ZIP Archives lanza el Código PowerShell responsable de implementar señuelos de empleo de REMCOS RAT. Esto alerta a los usuarios de que su buzón está casi lleno y que deben «borrarlos» haciendo clic en el botón integrado en el mensaje, y que deben llevar a los usuarios a una página de phishing alojada en IPF que roba los correos electrónicos de los usuarios. Curiosamente, el correo electrónico también incluye archivos adjuntos de Archivo RAR que, cuando se extraen y ejecutan, soltan malware Xworm. Incluye una URL que se puede usar como documento PDF. Esto contiene otra URL para soltar el archivo zip. Esto incluye el archivo ejecutable responsable de iniciar el robador de lumma basado en automóvil. Redirige los mensajes de SMS y los destinatarios con respecto a las violaciones de peaje no remuneradas a un sitio engañoso que cosecha información personal y detalles de la tarjeta de crédito, y redirige a los usuarios a una página de cosecha de calificación alojada por la contraseña de la cuenta de Microsoft del usuario del sifón utilizando un correo electrónico con el tema de SharePoint.
«Los correos electrónicos que contienen enlaces de SharePoint tienen menos probabilidades de ser marcados como maliciosos o phishing por EDR o software antivirus. Los usuarios tienden a creer que los enlaces de Microsoft son inherentemente seguros», dijo Cyberproof.
«Debido a que las páginas de phishing están alojadas en SharePoint, a menudo son dinámicas y accesibles desde un enlace específico por un tiempo limitado, lo que dificulta detectar rastreadores, escáneres y cajas de arena automáticos».
Source link
