Una combinación de métodos de propagación, sofisticación novelística y técnicas de diversión permitió la táctica de ingeniería social conocida como Clickfix Para sacar de la modo en que lo hizo durante el año pasado, según nuevos hallazgos de Guardio Labs.
«Como una variable de virus del mundo existente, esta nueva ‘Clickfix«La tensión superó rápidamente y finalmente eliminó la infame estafa de modernización de navegador traidor que plagó la web el año pasado», dijo el investigador de seguridad Shaked Chen en un crónica compartido con Hacker News.
«Lo hizo eliminando la penuria de descargas de archivos, utilizando tácticas de ingeniería social más inteligente y propagando a través de una infraestructura confiable. El resultado: una ola de infecciones que van desde ataques de conducción masiva hasta los señuelos de phishing de vara hiper objetivo».
ClickFix es el nombre regalado a una táctica de ingeniería social donde los objetivos prospectivos se engañan para infectar sus propias máquinas bajo la apariencia de solucionar un problema inexistente o una demostración Captcha. Se detectó por primera vez en la naturaleza a principios de 2024.
En estos ataques, los vectores de infección tan diversos como los correos electrónicos de phishing, las descargas de transmisión, la malvertición y el envenenamiento de optimización de motores de búsqueda (SEO) se emplean para dirigir a los usuarios a fingir páginas que muestran los mensajes de error.
Estos mensajes tienen un objetivo: encaminar a las víctimas para seguir una serie de pasos que causan un comando taimado desganado a su portapapeles que se ejecuta cuando se pegan en el cuadro de diálogo Windows Run o en la aplicación Terminal, en el caso de Apple MacOS.
El comando nefasto, a su vez, desencadena la ejecución de una secuencia de varias etapas que resulta en el despliegue de varios tipos de malware, como robadores, troyanos de llegada remoto y cargadores, lo que subraya la flexibilidad de la amenaza.
La táctica se ha vuelto tan efectiva y potente que ha llevado a lo que Guardio claridad un Captchageddon, con actores cibercriminales y de estado-nación que lo empuñan en docenas de campañas en un corto período de tiempo.
ClickFix es una mutación más sigilosa de ClearFake, que implica servirse los sitios de WordPress comprometidos para servir a las ventanas emergentes de modernización del navegador traidor que, a su vez, entregan malware de Stealer. Luego, Clearfake incorporó tácticas de diversión avanzadas como Etherhiding para ocultar la carga útil de la próxima etapa utilizando los contratos de cautiverio inteligente (BSC) de Binance.
Guardio dijo que la transformación de ClickFix y su éxito es el resultado del refinamiento constante en términos de vectores de propagación, la diversificación de los señuelos y los mensajes, y los diferentes métodos utilizados para adelantarse a la curva de detección, tanto que finalmente suplantó Clearfake.
«Las primeras indicaciones fueron genéricas, pero rápidamente se volvieron más persuasivos, agregando señales de aprieto o sospecha», dijo Chen. «Estos ajustes aumentaron las tasas de cumplimiento al explotar la presión psicológica básica».
Algunas de las formas notables en que se ha adaptado el enfoque de ataque incluyen el atropello de los scripts de Google para introducir los flujos de captcha falsos, aprovechando así la confianza asociada con el dominio de Google, así como para integrar la carga útil en el interior de fuentes de archivos de aspecto seguro como Socket.io.min.js.
«Esta horripilante cinta de técnicas: ofuscación, carga dinámica, archivos de aspecto seguro, manejo multiplataforma, entrega de carga útil de terceros y atropello de hosts de confianza como Google) demuestra cómo los actores de amenaza se han adaptado continuamente para evitar la detección», agregó Chen.
«Es un traumatizado recordatorio de que estos atacantes no solo están refinando sus señuelos de phishing o las tácticas de ingeniería social, sino que están invirtiendo fuertemente en métodos técnicos para avalar que sus ataques sigan siendo efectivos y resistentes contra las medidas de seguridad».
