ClickFix, FileFix, CAPTCHA simulado: como quiera que se llame, los ataques en los que los usuarios interactúan con scripts maliciosos en su navegador web son una fuente de violaciones de seguridad en rápido crecimiento.
Los ataques ClickFix solicitan al becario que resuelva algún tipo de problema o desafío en el navegador, más comúnmente un CAPTCHA, pero asimismo cosas como corregir un error en una página web.
Sin bloqueo, el nombre es un poco engañoso: el multiplicador secreto del ataque es que engañan a los usuarios para que ejecuten comandos maliciosos en su dispositivo copiando código malvado del portapapeles de la página y ejecutándolo localmente.
 |
| Ejemplos de señuelos ClickFix utilizados por atacantes en la naturaleza. |
Se sabe que ClickFix es utilizado regularmente por el familia de ransomware Interlock y otros prolíficos actores de amenazas, incluidas las APT patrocinadas por el estado. Varias violaciones recientes de datos públicos se han relacionado con TTP de estilo ClickFix, como Kettering Health, DaVita, City of St. Paul, Minnesota y los Centros de Ciencias de la Salubridad de la Universidad Tecnológica de Texas (y es probable que muchas más violaciones involucren a ClickFix donde el vector de ataque no se conocía ni se divulgaba).
Pero ¿por qué estos ataques resultan tan eficaces?
Razón 1: los usuarios no están preparados para ClickFix
Durante la última período o más, la concienciación de los usuarios se ha centrado en evitar que hagan clic en enlaces de correos electrónicos sospechosos, descarguen archivos peligrosos e introduzcan su nombre de becario y contraseña en sitios web aleatorios. No se ha centrado en rajar un software y ejecutar un comando.
La sospecha se reduce aún más si se considera que la influencia maliciosa de copia del portapapeles se realiza detrás de ambiente a través de JavaScript el 99% de las veces.
 |
| Ejemplo de código JavaScript no ofuscado que realiza la función de copia automáticamente en una página ClickFix sin intervención del becario. |
Y transmitido que los sitios y señuelos ClickFix modernos parecen cada vez más legítimos (consulte el ejemplo a continuación), no sorprende que los usuarios sean víctimas.
 |
| Uno de los señuelos ClickFix de apariencia más legítima: ¡este incluso tiene un video incrustado que muestra al becario qué hacer! |
Cuando se considera el hecho de que estos ataques se están alejando por completo del correo electrónico, no se ajusta al maniquí de aquello de lo que los usuarios están entrenados para sospechar.
Se descubrió que el principal vector de entrega identificado por los investigadores de Push Security era Envenenamiento SEO & publicidad maliciosa a través de la Búsqueda de Google. Al crear nuevos dominios o hacerse cargo de los legítimos, los atacantes están creando escenarios de pilón para interceptar a los usuarios que navegan por Internet.
E incluso si sospechara, no existe un timbre o flujo de trabajo conveniente para «reportar phishing» para advertir a su equipo de seguridad sobre los resultados de la Búsqueda de Google, mensajes de redes sociales, anuncios de sitios web, etc.
Razón 2: ClickFix no se detecta durante la entrega
Hay algunos aspectos de por qué los controles técnicos no detectan los ataques ClickFix.
Las páginas de ClickFix, al igual que otros sitios de phishing modernos, utilizan una variedad de técnicas de esparcimiento de detección que evitan que las herramientas de seguridad las marquen, desde escáneres de correo electrónico hasta herramientas de seguridad de rastreo web y servidores proxy web que analizan el tráfico de la red. La esparcimiento de detección implica principalmente camuflar y rotar dominios para adelantarse a las detecciones malas conocidas (es afirmar, listas de corte), usar protección contra bots para evitar el investigación y ofuscar en gran medida el contenido de la página para evitar que se activen las firmas de detección.
Y al utilizar vectores de entrega que no son correo electrónico, se elimina toda una capa de oportunidades de detección.
 |
| Al igual que otros ataques de phishing modernos, los señuelos ClickFix se distribuyen por Internet, no solo por correo electrónico. |
La publicidad maliciosa añade otra capa de segmentación al panorama. Por ejemplo, Google Ads puede orientarse a búsquedas provenientes de ubicaciones geográficas específicas, adaptarse a coincidencias de dominios de correo electrónico específicos o tipos de dispositivos específicos (por ejemplo, computadoras de escritorio, dispositivos móviles, etc.). Si sabe dónde se encuentra su objetivo, puede adaptar los parámetros del anuncio en consecuencia.
Conexo con otras técnicas, como la carga condicional para devolver un señuelo apropiado para su sistema activo (o no activarse en ilimitado a menos que se cumplan ciertas condiciones, por ejemplo, está visitando desde un sistema activo móvil o desde fuera de un rango de IP objetivo), los atacantes tienen una modo de resistir a una gran cantidad de víctimas potenciales mientras evitan los controles de seguridad en la capa de correo electrónico y evitan investigación no deseados.
 |
| Ejemplo de un señuelo ClickFix integrado en un sitio codificado por traqueteo. |
Finalmente, conveniente a que el código se copia internamente del entorno restringido del navegador, las herramientas de seguridad típicas no pueden observar ni marcar esta influencia como potencialmente maliciosa. Esto significa que la última (y única) oportunidad para que las organizaciones detengan ClickFix está en el punto final, a posteriori de que el becario haya intentado ejecutar el código malvado.
Razón 3: EDR es la última y única estría de defensa, y no es infalible
Hay múltiples etapas del ataque que pueden y deben ser interceptadas por EDR, pero el nivel de detección elevado y si una influencia se bloquea en tiempo auténtico depende del contexto.
Oportuno a que no hay descarga de archivos desde la web y el becario inicia el acto de ejecutar el código en la máquina, no hay ningún contexto que vincule la influencia a otra aplicación para que parezca sospechosa. Por ejemplo, un PowerShell malvado ejecutado desde Outlook o Chrome parecería obviamente sospechoso, pero como lo inicia el becario, está incomunicación del contexto donde se entregó el código.
Los propios comandos maliciosos pueden ofuscarse o dividirse en etapas para evitar una sencillo detección mediante reglas heurísticas. La telemetría de EDR puede registrar que se ejecutó un proceso de PowerShell, pero sin una firma incorrecta conocida o una infracción clara de la política, es posible que no lo marque de inmediato.
La etapa final en la que cualquier EDR acreditado debería interceptar el ataque es en el punto de ejecución del malware. Pero la esparcimiento de detección es un esparcimiento del micho y el ratón, y los atacantes siempre están buscando formas de modificar su malware para escamotear o desactivar las herramientas de detección. Entonces, ocurren excepciones.
Y si su ordenamiento permite a los empleados y contratistas utilizar dispositivos BYOD no administrados, existe una gran posibilidad de que existan lagunas en su cobertura EDR.
En última instancia, las organizaciones dependen de una única estría de defensa: si EDR no detecta y bloquea el ataque, no se detecta en ilimitado.
Por qué las recomendaciones típico se quedan cortas
La mayoría de las recomendaciones independientes del proveedor se han centrado en restringir el ataque a servicios como el cuadro de diálogo Ejecutar de Windows para usuarios típicos. Pero aunque mshta y PowerShell siguen siendo los más comúnmente observados, los investigadores de seguridad ya han detectado una amplia tono de LOLBINS dirigidos a diferentes servicios, a muchos de los cuales es difícil impedir que los usuarios accedan.
Todavía vale la pena considerar cómo los ataques estilo ClickFix pueden seguir evolucionando en el futuro. La ruta de ataque flagrante alpargata el navegador y el endpoint: ¿qué pasaría si pudiera tener puesto completamente en el navegador y escamotear la EDR por completo? Por ejemplo, pegando JavaScript malvado directamente en las herramientas de avance de una página web relevante.
 |
| En la ruta de ataque híbrida flagrante, el atacante entrega señuelos en el navegador para comprometer el punto final y obtener ataque a los créditos y las cookies almacenados en el navegador. ¿Qué pasaría si pudieras eliminar el punto final por completo? |
Detener ClickFix en primera estría: en el navegador
La última característica de Push Security, la detección de copiar y pegar maliciosos, aborda los ataques de estilo ClickFix lo antiguamente posible mediante la detección y el corte basados en el navegador. Se proxenetismo de un control mundialmente eficaz que funciona independientemente del canal de entrega del señuelo, el estilo y la estructura de la página o las características específicas del tipo y ejecución del malware.
A diferencia de las pesadas soluciones DLP que bloquean por completo el proceso de copiar y pegar, Push protege a sus empleados sin interrumpir su experiencia de becario ni obstaculizar la productividad.
Mira el vídeo a continuación para obtener más información.
Más información
Si desea obtener más información sobre los ataques ClickFix y cómo están evolucionando, consulte este próximo seminario web en el que los investigadores de Push Security se sumergirán en ejemplos de ClickFix del mundo auténtico y demostrarán cómo funcionan los sitios ClickFix bajo el capó.
La plataforma de seguridad basada en navegador de Push Security proporciona capacidades integrales de detección y respuesta a ataques contra técnicas como phishing AiTM, relleno de credenciales, ClickFixing, extensiones de navegador maliciosas y secuestro de sesiones mediante tokens de sesión robados. Todavía puede usar Push para encontrar y corregir vulnerabilidades en las aplicaciones que usan sus empleados, como inicios de sesión fantasmas, brechas de cobertura de SSO, brechas de MFA, contraseñas vulnerables, integraciones OAuth riesgosas y más, para acorazar su superficie de ataque de identidad.
Para obtener más información sobre Push, consulte nuestra descripción genérico de productos más fresco o reserve una cita con uno de nuestro equipo para una demostración en vivo.
