Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Puerta trasera CORNFLAKE.V3

Puerta trasera CORNFLAKE.V3

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT), Puertas traseras
Traducir a:

Los actores de amenazas explotan cada vez más una técnica engañosa conocida como ClickFix para distribuir una sofisticada puerta trasera, CORNFLAKE.V3. Los investigadores de seguridad que rastrean la actividad, designada UNC5518, la han vinculado a una operación de acceso como servicio donde páginas CAPTCHA falsas engañan a las víctimas para que ejecuten comandos maliciosos. Una vez obtenido el acceso, este se revende o se comparte con otros grupos cibercriminales para su posterior explotación.

Cómo comienza el ataque

La cadena de infección suele comenzar cuando los usuarios interactúan con resultados de búsqueda alterados por SEO o anuncios maliciosos. Las víctimas son redirigidas a una página falsa de verificación CAPTCHA, diseñada para parecerse a Turnstile de Cloudflare u otros servicios legítimos. Creyendo que están resolviendo un problema de verificación, los usuarios son guiados a copiar y pegar un script malicioso de PowerShell en el cuadro de diálogo Ejecutar de Windows, lo que proporciona a los atacantes la vía de acceso que necesitan.

Participación de actores amenazantes

El acceso robado a las campañas UNC5518 ha sido aprovechado por al menos dos grupos distintos:

  • UNC5774 – un actor motivado financieramente que entrega CORNFLAKE para desplegar cargas útiles adicionales.
  • UNC4108: un grupo con motivos poco claros, observado usando PowerShell para instalar malware como VOLTMARKER y NetSupport RAT.

Esto demuestra cómo ClickFix sirve como puerta de entrada para una variedad de actividades de seguimiento maliciosas.

Dentro de CORNFLAKE.V3

La puerta trasera CORNFLAKE.V3 existe en versiones de JavaScript y PHP. Está diseñada para:

  • Ejecute diferentes cargas útiles a través de HTTP, incluidos ejecutables, DLL, JavaScript, archivos por lotes y comandos de PowerShell.
  • Recopila datos básicos del sistema y los envía a un servidor controlado por un atacante a través de túneles de Cloudflare para su ocultación.

A diferencia de su predecesor, la versión 2, que funcionaba únicamente como descargador, la versión 3 introduce la persistencia modificando las claves de ejecución del Registro de Windows y admite una gama más amplia de cargas útiles. Se han distribuido al menos tres cargas útiles a través de ella, entre ellas:

  • Una herramienta de reconocimiento de Active Directory
  • Un script de Kerberoasting para el robo de credenciales

WINDYTWIST.SEA, una puerta trasera basada en C con capacidades como acceso de shell inverso, retransmisión de tráfico TCP y movimiento lateral

Por qué ClickFix es peligroso

El método ClickFix ha cobrado impulso en los círculos cibercriminales debido a su gran dependencia de la interacción humana. Se manipula a los usuarios para que ejecuten comandos ellos mismos, evadiendo así muchas herramientas de seguridad automatizadas. Los vectores de entrega más comunes incluyen:

  • Correos electrónicos de phishing
  • Campañas de publicidad maliciosa
  • Sitios web comprometidos sin autorización

Para aumentar la credibilidad, los atacantes a menudo se hacen pasar por marcas conocidas, verificaciones de Cloudflare o incluso verificaciones de servidores de Discord.

Comercialización de Kits ClickFix

Desde finales de 2024, los desarrolladores de ClickFix han aparecido en foros clandestinos, comercializados como kits "Win + R". Los precios suelen oscilar entre $200 y $1500 al mes, dependiendo de las características. Los componentes individuales, como el código fuente, las páginas de destino o los scripts de línea de comandos, suelen venderse por separado por entre $200 y $500.

Algunos kits avanzados combinan los constructores de ClickFix con otros cargadores de malware y ofrecen:

  • Páginas de destino listas para usar con diferentes señuelos
  • Comandos garantizados para eludir la detección antivirus
  • Opciones de persistencia y evasión de SmartScreen

Medidas defensivas

Para contrarrestar las infecciones basadas en ClickFix, las organizaciones deben adoptar medidas de defensa proactivas. Las medidas recomendadas incluyen:

  • Restringir o deshabilitar el cuadro de diálogo Ejecutar de Windows cuando sea posible.
  • Realizar simulaciones periódicas de phishing e ingeniería social para capacitar a los usuarios.
  • Implementar un registro y monitoreo robustos para detectar rápidamente ejecuciones inusuales de PowerShell o scripts.

Al centrarse tanto en la prevención como en la detección temprana, las organizaciones pueden reducir significativamente el riesgo que plantean las campañas que involucran ClickFix y CORNFLAKE.V3.

Tendencias

Mas Visto

Cargando...