ClickFix, FileFix, CAPTCHA falsos o como se llamen, los ataques en los que los usuarios manipulan scripts maliciosos en sus navegadores web son una fuente cada vez mayor de violaciones de seguridad.
Los ataques ClickFix solicitan a los usuarios que resuelvan algún problema o problema en su navegador. Los CAPTCHA son los más comunes, pero también lo son cosas como corregir errores en páginas web.
Sin embargo, este nombre es un poco engañoso. El factor principal detrás del ataque es engañar a los usuarios para que ejecuten comandos maliciosos en su dispositivo copiando código malicioso del portapapeles de una página y ejecutándolo localmente.
Ejemplos de señuelos ClickFix utilizados por atacantes en la naturaleza.
Se sabe que ClickFix es utilizado regularmente por el grupo de ransomware Interlock y otros actores de amenazas importantes, incluidas las APT patrocinadas por el estado. Muchas violaciones de datos públicos recientes han involucrado TTP de estilo ClickFix, incluidos Kettering Health, DaVita, la ciudad de St. Paul, Minnesota y el Centro de Ciencias de la Salud de la Universidad Tecnológica de Texas (muchas más violaciones pueden involucrar a ClickFix con vectores de ataque desconocidos o no revelados).
Pero ¿por qué estos ataques resultan tan eficaces?
Razón 1: los usuarios no están preparados para ClickFix
Durante la última década, la concienciación de los usuarios se ha centrado en evitar que hagan clic en enlaces de correos electrónicos sospechosos, descarguen archivos peligrosos o escriban nombres de usuario y contraseñas en sitios web aleatorios. No se centró en abrir programas y ejecutar comandos.
La sospecha disminuye aún más si se tiene en cuenta que el 99% de las veces las acciones maliciosas de copia del portapapeles se realizan en segundo plano a través de JavaScript.
Un ejemplo de código JavaScript no ofuscado que realiza automáticamente una función de copia en una página ClickFix sin intervención del usuario.
Y a medida que los sitios y señuelos ClickFix modernos parecen cada vez más legítimos (ver ejemplos a continuación), no sorprende que los usuarios sean víctimas de ellos.
Uno de los señuelos ClickFix de apariencia más legítima. Tiene un vídeo incrustado que muestra al usuario qué hacer.
Dado el hecho de que estos ataques se están alejando por completo del correo electrónico, esto no encaja en el modelo de lo que los usuarios están entrenados para sospechar.
Se descubrió que los principales vectores de entrega identificados por los investigadores de Push Security eran el envenenamiento de SEO y la publicidad maliciosa a través de la búsqueda de Google. Al crear nuevos dominios o secuestrar dominios legítimos, los atacantes crean un escenario de abrevadero en el que interceptan a los usuarios mientras navegan por Internet.
Tampoco existe un botón o flujo de trabajo conveniente para «Denunciar phishing» para notificar a su equipo de seguridad sobre los resultados de búsqueda de Google, mensajes de redes sociales, anuncios de sitios web, etc., incluso si sospecha.
Razón 2: ClickFix no se detecta durante la entrega
Hay varios aspectos por los que los controles técnicos no detectan los ataques ClickFix.
Las páginas de ClickFix, al igual que otros sitios de phishing modernos, utilizan una variedad de técnicas de evasión para evitar ser marcadas por herramientas de seguridad, desde escáneres de correo electrónico hasta herramientas de seguridad de rastreo web y servidores proxy web que analizan el tráfico de la red. La evasión de detección implica principalmente suplantar y rotar dominios para adelantarse a las detecciones erróneas conocidas (listas de bloqueo), usar protección contra bots para evitar el análisis y ofuscar en gran medida el contenido de la página para evitar que se activen las firmas de detección.
Además, el uso de un vector de entrega distinto del correo electrónico elimina toda la ventana de oportunidad para la detección.
Al igual que otros ataques de phishing modernos, los señuelos de ClickFix se distribuyen por Internet, no sólo a través del correo electrónico.
La publicidad maliciosa añade otra capa de segmentación a la situación. Por ejemplo, Google Ads puede orientar búsquedas desde ubicaciones geográficas específicas, adaptarse a coincidencias de dominios de correo electrónico específicos o tipos de dispositivos específicos (computadora de escritorio, móvil, etc.). Si conoce la ubicación de su objetivo, puede ajustar los parámetros de su anuncio en consecuencia.
Junto con otras técnicas, como la carga condicional que devuelve señuelos apropiados al sistema operativo (o no se activa en absoluto a menos que se cumplan ciertas condiciones (por ejemplo, acceder desde un sistema operativo móvil, acceder desde fuera del rango de IP objetivo)), los atacantes tienen una manera de eludir los controles de seguridad en la capa de correo electrónico y llegar a una gran cantidad de víctimas potenciales al mismo tiempo que evitan análisis innecesarios.
Un ejemplo de un señuelo ClickFix construido en un sitio codificado por vibración.
Finalmente, debido a que el código se copia dentro del entorno limitado del navegador, las herramientas de seguridad comunes no pueden monitorear ni marcar esta acción como potencialmente maliciosa. Esto significa que la última y única vez que una organización puede detener ClickFix es en el punto final después de que un usuario intenta ejecutar código malicioso.
Razón 3: EDR es la última y única línea de defensa y no es infalible
Hay varias etapas en un ataque que EDR puede y debe bloquear, pero el contexto determina si se bloquea un nivel más alto de detección o acción en tiempo real.
Dado que no se descargan archivos de la web y el usuario inicia el acto de ejecutar el código en la máquina, no hay contexto para vincular el acto a otra aplicación para que parezca sospechoso. Por ejemplo, el PowerShell malicioso ejecutado desde Outlook o Chrome parece obviamente sospechoso, pero como lo inicia el usuario, está aislado del contexto donde se entregó el código.
El comando malicioso en sí puede ofuscarse o dividirse en varias etapas para evitar una fácil detección mediante reglas heurísticas. La telemetría de EDR puede registrar que se ejecutó un proceso de PowerShell, pero es posible que no lo marque inmediatamente a menos que exista una firma maliciosa conocida o una clara infracción de la política.
La etapa final en la que un EDR confiable frustra un ataque es en el punto de ejecución del malware. Pero evadir la detección es un juego del gato y el ratón, y los atacantes siempre están buscando formas de modificar su malware para evadir o desactivar las herramientas de detección. Por tanto, se producirá la excepción.
Además, si su organización permite que los empleados o contratistas utilicen dispositivos BYOD no administrados, es probable que existan lagunas en la cobertura de EDR.
Con el tiempo, su organización dependerá de una única línea de defensa. Si EDR no detecta ni bloquea un ataque, no se descubrirá en absoluto.
Por qué las recomendaciones estándar son inadecuadas
La mayoría de las recomendaciones neutrales del proveedor se centran en restringir el acceso a servicios como el cuadro de diálogo Ejecutar de Windows a los usuarios típicos. Sin embargo, si bien mshta y PowerShell siguen siendo los más comúnmente observados, los investigadores de seguridad ya han descubierto una amplia gama de LOLBINS dirigidos a una variedad de servicios, a muchos de los cuales es difícil impedir que los usuarios accedan.
También vale la pena considerar cómo los ataques estilo ClickFix seguirán evolucionando en el futuro. Los vectores de ataque actuales abarcan navegadores y terminales. ¿Qué pasaría si el ataque pudiera realizarse completamente dentro del navegador y evitar EDR por completo? Por ejemplo, pegando JavaScript malicioso directamente en las herramientas de desarrollo de la página web correspondiente.
Las rutas de ataque híbridas actuales implican que los atacantes coloquen señuelos dentro del navegador para comprometer el punto final y acceder a las credenciales y cookies almacenadas en el navegador. ¿Qué pasaría si pudiera omitir el punto final por completo?
Protección de primera línea contra ClickFix en su navegador
La característica más nueva de Push Security, Detección de copia y pegado malicioso, responde a los ataques de estilo ClickFix lo más rápido posible mediante la detección y el bloqueo basados en el navegador. Se trata de un control universalmente eficaz que funciona independientemente de los canales de entrega del señuelo, el estilo y la estructura de la página o el tipo de malware y los detalles de ejecución.
A diferencia de las soluciones DLP de fuerza bruta que bloquean completamente copiar y pegar, Push protege a sus empleados sin interrumpir la experiencia del usuario ni obstaculizar la productividad.
Mire el vídeo a continuación para obtener más información.
aprender más
Si desea obtener más información sobre los ataques ClickFix y su evolución, consulte nuestro próximo seminario web en el que los investigadores de Push Security analizan más de cerca ejemplos de ClickFix del mundo real y demuestran cómo funcionan los sitios ClickFix en su interior.
La plataforma de seguridad basada en navegador de Push Security proporciona capacidades integrales de detección y respuesta a ataques contra técnicas como phishing AiTM, relleno de credenciales, ClickFixing, extensiones de navegador maliciosas y secuestro de sesiones mediante tokens de sesión robados. También puede usar Push para encontrar y corregir vulnerabilidades en las aplicaciones que usan sus empleados, incluidos inicios de sesión fantasmas, brechas de cobertura de SSO, brechas de MFA, contraseñas débiles e integraciones riesgosas de OAuth, para fortalecer su superficie de ataque de identidad.
Para obtener más información sobre Push, consulte nuestra descripción general de productos más reciente o programe una demostración en vivo con nuestro equipo.
Source link
