Se ha enemigo múltiples grupos de piratería patrocinados por el estado de Irán, Corea del Finalidad y Rusia aprovechando la táctica de ingeniería social de ClickFix cada vez más popular para desplegar malware durante un período de tres meses desde finales de 2024 hasta principios de 2025.
Las campañas de phishing que adoptan la organización se han atribuido a los grupos rastreados como TA427 (incluso conocido como Kimsuky), TA450 (incluso conocido como Muddywater), Unk_remoterogue y TA422 (incluso conocido como APT28).
ClickFix ha sido una técnica de comunicación auténtico principalmente afiliada a los grupos de delitos cibernéticos, aunque la efectividad del enfoque incluso ha llevado a que los grupos de estado-estado incluso lo hayan acogido.
«La incorporación de ClickFix no está revolucionando las campañas llevadas a sitio por TA427, TA450, UNK_REMOTEROGO y TA422, sino que reemplaza las etapas de instalación y ejecución en las cadenas de infecciones existentes», dijo la firma de seguridad empresarial PruebePoint en un referencia publicado hoy.
ClickFix, en pocas palabras, se refiere a una técnica astuta que insta a los usuarios a infectar su propia máquina siguiendo una serie de instrucciones para copiar, pegar y ejecutar comandos maliciosos con el pretexto de solucionar un problema, completar una comprobación de CaptCha o registrar su dispositivo.
Proofpoint dijo que detectó por primera vez a Kimsuky usando ClickFix en enero y febrero de 2025 como parte de una campaña de phishing que dirigió a las personas en menos de cinco organizaciones en el sector del clan de expertos.
«TA427 hizo contacto auténtico con el objetivo a través de una solicitud de reunión de un remitente falsificado entregado a los objetivos tradicionales de TA427 que trabajan en asuntos de Corea del Finalidad», dijo el equipo de investigación de PROASPPOINT.
 |
| Dependencia de infección de CLICKFIX TA427 |
«Luego de una breve conversación para involucrar al objetivo y ocasionar confianza, como se ve a menudo en la actividad de TA427, los atacantes dirigieron al objetivo a un sitio controlado por los atacantes donde convencieron al objetivo de ejecutar un comando PowerShell».
La dependencia de ataque, explicó la compañía, inició una secuencia de varias etapas que culminó en el despliegue de un troyano de comunicación remoto de código destapado llamado Radiofuente Rat.
El mensaje de correo electrónico pretendía originarse en un diplomático japonés y le pidió al destinatario que organizara una reunión con el embajador japonés en los Estados Unidos. En el transcurso de la conversación, los actores de amenaza enviaron un PDF taimado que contenía un enlace a otro documento con una índice de preguntas que se discutirán durante la reunión.
 |
| Dependencia de infección de TA450 ClickFix |
Al hacer clic en el enlace, dirigió a la víctima a una página de destino falsa que imitaba el sitio web de la Embajada Japonesa, lo que les llevó a registrar su dispositivo copiando y pegando un comando en el diálogo de Windows ejecutar para descargar el cuestionario.
«El comando ClickFix PowerShell obtiene y ejecuta un segundo comando PowerShell alojado remotamente, que muestra el señuelo PDF referenciado anteriormente en la dependencia (cuestionario.pdf) al beneficiario», dijo Proofpoint. «El documento afirmaba ser del Empleo de Asuntos Exteriores en Japón y contenía preguntas sobre la proliferación y política nuclear en el noreste de Asia».
El segundo script PowerShell está configurado para crear un script Visual Basic que se ejecuta cada 19 minutos por medio de una tarea programada, que, a su vez, descarga dos scripts por lotes que crean, decodifican y ejecutan la carga útil de Radiofuente Rat. Vale la pena señalar que Microsoft documentó una variación de esta dependencia de ataque en febrero de 2025.
 |
| Unk_remoterogue dependencia de infección por clickfix |
El segundo clan de estado-nación que se enfrenta a ClickFix es el clan Muddywater adherido a Irán que ha estudioso la técnica para el software razonable de monitoreo y administración remota (RMM) como el nivel para amparar el comunicación persistente.
Los correos electrónicos de phishing, enviados el 13 y 14 de noviembre de 2024, coinciden con las actualizaciones del martes de Microsoft Patch, disfrazadas de una puesta al día de seguridad del gigantesco tecnológico, pidiendo a los destinatarios de mensajes que sigan las instrucciones al estilo ClickFix para invadir una supuesta vulnerabilidad.
«Los atacantes desplegaron la técnica ClickFix persuadiendo al objetivo para ejecutar primero PowerShell con privilegios de administrador, luego copiar y ejecutar un comando contenido en el cuerpo de correo electrónico», dijo Proofpoint.
«El comando fue responsable de instalar el software de oficina y monitoreo remotos (RMM), en este caso, el nivel, a posteriori de lo cual los operadores de TA450 abusarán de la aparejo RMM para realizar datos de espionaje y exfiltrado de la máquina del objetivo».
Se dice que la campaña TA450 ClickFix se dirige a los sectores de finanzas, gobierno, salubridad, educación y transporte en todo el Medio Oriente, con vigor en los Emiratos Árabes Unidos (EAU) y Arabia Saudita, así como en los ubicados en Canadá, Alemania, Suiza y los Estados Unidos.
Todavía observó invadir el Bandwagon de ClickFix es un supuesto clan ruso rastreado como unk_remoterogue en torno a fines del año pasado utilizando correos electrónicos de señuelo enviados desde servidores Zimbra probablemente comprometidos que incluían un enlace a un documento de Microsoft Office.
 |
| Linde de tiempo de campañas normalizado y avistamientos de ClickFix (julio de 2024 – marzo de 2025) |
Revistar el enlace mostró una página que contiene instrucciones para copiar código del navegador en su terminal, adjunto con un tutorial de video de YouTube sobre cómo ejecutar PowerShell. El comando PowerShell estaba equipado con capacidades para ejecutar JavaScript que ejecutó el código PowerShell vinculado al entorno Empire Command and Control (C2).
Proofpoint dijo que la campaña envió 10 mensajes a las personas en dos organizaciones asociadas con un importante fabricante de armas en la industria de defensa. Todavía se ha descubierto que unk_remoterogue comparte superposiciones de infraestructura con otra campaña de phishing que se dirigió a las entidades de defensa y aeroespaciales con enlaces al conflicto en curso en Ucrania para cosechar credenciales de correo web a través de páginas de inicio de sesión falsas.
«Múltiples ejemplos de actores patrocinados por el estado que usan ClickFix han demostrado no solo la popularidad de la técnica entre los actores estatales, sino incluso su uso por parte de varios países con unas semanas de diferencia», dijo la compañía. «Aunque no es una técnica de uso persistente, es probable que más actores de amenaza de Corea del Finalidad, Irán y Rusia incluso hayan probado y probado ClickFix o en el futuro cercano».
