ClickFix Malware
Una estrategia reciente de distribución de malware emplea notificaciones engañosas que se parecen a los errores de Google Chrome, Microsoft Word y OneDrive. Estas alertas falsas tienen como objetivo engañar a los usuarios para que ejecuten 'arreglos' amenazantes de PowerShell, que en última instancia instalan malware. Esta campaña ha sido identificada y utilizada por varios actores de amenazas, incluidos aquellos asociados con ClearFake, un nuevo grupo conocido como ClickFix y el famoso actor de amenazas TA571. TA571 es conocido por su papel como distribuidor de spam, responsable de difundir grandes volúmenes de correos electrónicos que a menudo conducen a infecciones de malware y ransomware.
Anteriormente, los ataques ClearFake implicaban superposiciones de sitios web que engañaban a los visitantes para que instalaran malware haciéndose pasar por actualizaciones falsas del navegador.
Tabla de contenido
Las alertas de errores falsas pueden generar amenazas de malware
En los ataques reportados, los actores de amenazas han ampliado sus métodos para incluir JavaScript incrustado en archivos adjuntos HTML y sitios web comprometidos. Estas tácticas ahora implican superposiciones que simulan errores falsos de Google Chrome, Microsoft Word y OneDrive. Estas alertas engañosas instan a los visitantes a hacer clic en un botón para copiar una 'corrección' de PowerShell en su portapapeles, indicándoles que la peguen y ejecuten en un cuadro de diálogo Ejecutar o en un mensaje de PowerShell.
Si bien esta cadena de ataque se basa en una interacción significativa del usuario, su ingeniería social es lo suficientemente sofisticada como para presentar a los usuarios lo que parece ser un problema genuino y una solución simultáneamente. Esto puede obligar a los usuarios a actuar apresuradamente sin evaluar completamente los riesgos asociados. Los investigadores de Infosec han identificado varias cargas útiles utilizadas en estos ataques, incluidas DarkGate , Matanbuchus , NetSupport , Amadey Loader , XMRig , un secuestrador de portapapeles y Lumma Stealer .
Scripts fraudulentos colocan malware en los dispositivos de los usuarios
Los analistas han identificado tres cadenas de ataques distintas que se distinguen principalmente por sus etapas iniciales, y solo la primera no está definitivamente vinculada a TA571.
En este primer escenario, asociado con actores de amenazas conectados a ClearFake, los usuarios visitan sitios web comprometidos que cargan scripts maliciosos alojados en la cadena de bloques a través de los contratos Smart Chain de Binance. Estos scripts realizan comprobaciones y activan alertas falsas de Google Chrome que afirman problemas con la visualización de páginas web. Luego, el cuadro de diálogo solicita a los visitantes que instalen un 'certificado raíz' copiando un script de PowerShell en el Portapapeles de Windows y ejecutándolo en una consola de Windows PowerShell (Administrador).
Tras la ejecución, el script de PowerShell valida el dispositivo de destino. Continúa realizando acciones como vaciar la caché de DNS, borrar el contenido del portapapeles, mostrar un mensaje de distracción y descargar un script de PowerShell remoto. Este script, a su vez, realiza comprobaciones anti-VM antes de iniciar la descarga de una carga útil para robar información.
Correos electrónicos ClickFix y Lure utilizados como cadenas de ataque alternativas
La segunda cadena de ataque está vinculada a la campaña 'ClickFix', que utiliza inyecciones de sitios web en sitios comprometidos para crear una superposición de iframe que presenta un error falso de Google Chrome. Se indica a los usuarios que abran 'Windows PowerShell (Admin)' y peguen el código proporcionado, lo que produce las mismas infecciones mencionadas anteriormente.
Otro método de infección implica ataques basados en correo electrónico que utilizan archivos adjuntos HTML que se asemejan a documentos de Microsoft Word. Se solicita a los usuarios que instalen la extensión 'Word Online' para ver el documento correctamente. El mensaje de error proporciona las opciones "Cómo solucionarlo" y "Reparación automática". Al seleccionar "Cómo solucionarlo", se copia un comando de PowerShell codificado en base64 en el portapapeles y se indica a los usuarios que lo peguen en PowerShell. 'Auto-fix' emplea el protocolo search-ms para mostrar un archivo 'fix.msi' o 'fix.vbs' alojado en WebDAV desde un recurso compartido de archivos controlado por un atacante remoto. En estos casos, los comandos de PowerShell descargan y ejecutan un archivo MSI o un script VBS, lo que provoca infecciones por Matanbuchus o DarkGate, respectivamente.
A lo largo de estos ataques, los actores de amenazas explotan la falta de conciencia de los usuarios sobre los riesgos asociados con la ejecución de comandos de PowerShell en sus sistemas. También aprovechan la incapacidad de Windows para detectar y prevenir las acciones dañinas provocadas por el código pegado.
Las variadas cadenas de ataque observadas por los investigadores indican que TA571 está explorando activamente diversos métodos para mejorar la eficacia y descubrir vías adicionales para infectar una mayor cantidad de sistemas. Este enfoque adaptativo subraya el compromiso de los ciberdelincuentes de evolucionar sus tácticas y ampliar su impacto dentro del panorama de la ciberseguridad.
