Una combinación de métodos de propagación, sofisticación novelística y técnicas de distracción permitió la táctica de ingeniería social conocida como Clickfix Para amputar de la forma en que lo hizo durante el año pasado, según nuevos hallazgos de Guardio Labs.
“Como una variable de virus del mundo auténtico, esta nueva ‘Clickfix“La tensión superó rápidamente y finalmente eliminó la infame estafa de modernización de navegador fariseo que plagó la web el año pasado”, dijo el investigador de seguridad Shaked Chen en un documentación compartido con Hacker News.
“Lo hizo eliminando la pobreza de descargas de archivos, utilizando tácticas de ingeniería social más inteligente y propagando a través de una infraestructura confiable. El resultado: una ola de infecciones que van desde ataques de conducción masiva hasta los señuelos de phishing de bichero hiper objetivo”.
ClickFix es el nombre entregado a una táctica de ingeniería social donde los objetivos prospectivos se engañan para infectar sus propias máquinas bajo la apariencia de solucionar un problema inexistente o una demostración Captcha. Se detectó por primera vez en la naturaleza a principios de 2024.
En estos ataques, los vectores de infección tan diversos como los correos electrónicos de phishing, las descargas de transmisión, la malvertición y el envenenamiento de optimización de motores de búsqueda (SEO) se emplean para dirigir a los usuarios a fingir páginas que muestran los mensajes de error.
Estos mensajes tienen un objetivo: enfilar a las víctimas para seguir una serie de pasos que causan un comando receloso roto a su portapapeles que se ejecuta cuando se pegan en el cuadro de diálogo Windows Run o en la aplicación Terminal, en el caso de Apple MacOS.
El comando nefasto, a su vez, desencadena la ejecución de una secuencia de varias etapas que resulta en el despliegue de varios tipos de malware, como robadores, troyanos de golpe remoto y cargadores, lo que subraya la flexibilidad de la amenaza.
La táctica se ha vuelto tan efectiva y potente que ha llevado a lo que Guardio ardor un Captchageddon, con actores cibercriminales y de estado-nación que lo empuñan en docenas de campañas en un corto período de tiempo.
ClickFix es una mutación más sigilosa de ClearFake, que implica usar los sitios de WordPress comprometidos para servir a las ventanas emergentes de modernización del navegador fariseo que, a su vez, entregan malware de Stealer. Seguidamente, Clearfake incorporó tácticas de distracción avanzadas como Etherhiding para ocultar la carga útil de la próxima etapa utilizando los contratos de condena inteligente (BSC) de Binance.
Guardio dijo que la cambio de ClickFix y su éxito es el resultado del refinamiento constante en términos de vectores de propagación, la diversificación de los señuelos y los mensajes, y los diferentes métodos utilizados para adelantarse a la curva de detección, tanto que finalmente suplantó Clearfake.
“Las primeras indicaciones fueron genéricas, pero rápidamente se volvieron más persuasivos, agregando señales de necesidad o sospecha”, dijo Chen. “Estos ajustes aumentaron las tasas de cumplimiento al explotar la presión psicológica básica”.
Algunas de las formas notables en que se ha adaptado el enfoque de ataque incluyen el atropello de los scripts de Google para meter los flujos de captcha falsos, aprovechando así la confianza asociada con el dominio de Google, así como para integrar la carga útil adentro de fuentes de archivos de aspecto genuino como Socket.io.min.js.
“Esta impresionante repertorio de técnicas: ofuscación, carga dinámica, archivos de aspecto genuino, manejo multiplataforma, entrega de carga útil de terceros y atropello de hosts de confianza como Google) demuestra cómo los actores de amenaza se han adaptado continuamente para evitar la detección”, agregó Chen.
“Es un traumatizado recordatorio de que estos atacantes no solo están refinando sus señuelos de phishing o las tácticas de ingeniería social, sino que están invirtiendo fuertemente en métodos técnicos para respaldar que sus ataques sigan siendo efectivos y resistentes contra las medidas de seguridad”.
