Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña que aprovecha una combinación de señuelos ClickFix y sitios web falsos para adultos para engañar a los usuarios para que ejecuten comandos maliciosos bajo la apariencia de una puesta al día de seguridad “crítica” de Windows.
“La campaña aprovecha sitios web falsos para adultos (xHamster, clones de PornHub) como mecanismo de phishing, probablemente distribuido a través de publicidad maliciosa”, dijo Acronis en un nuevo crónica compartido con The Hacker News. “El tema adulto y la posible conexión a sitios web sospechosos aumentan la presión psicológica de la víctima para que cumpla con la instalación repentina de una ‘puesta al día de seguridad'”.
Los ataques de estilo ClickFix han aumentado durante el final año y, por lo común, engañan a los usuarios para que ejecuten comandos maliciosos en sus propias máquinas mediante solicitudes de correcciones técnicas o completando comprobaciones de comprobación CAPTCHA. Según datos de Microsoft, ClickFix se ha convertido en el método de ataque original más global, representando el 47% de los ataques.
La última campaña muestra pantallas de puesta al día de Windows falsas y muy convincentes en un intento de ganar que la víctima ejecute código taimado, lo que indica que los atacantes se están alejando de los tradicionales señuelos de comprobación de robots. La actividad ha sido nombrada en código. JackFix por la empresa de ciberseguridad con sede en Singapur.
Quizás el aspecto más preocupante del ataque es que la falsa alerta de puesta al día de Windows secuestra toda la pantalla e indica a la víctima que cala el cuadro de diálogo Ejecutar de Windows, presione Ctrl + V y presione Enter, lo que desencadena la secuencia de infección.
Se evalúa que el punto de partida del ataque es un sitio inexacto para adultos al que los usuarios desprevenidos son redirigidos mediante publicidad maliciosa u otros métodos de ingeniería social, sólo para de repente ofrecerles una “puesta al día de seguridad urgente”. Se ha descubierto que iteraciones seleccionadas de los sitios incluyen comentarios de desarrolladores en ruso, lo que sugiere la posibilidad de que haya un actor de amenazas de deje rusa.
“La pantalla de Windows Update se crea completamente usando código HTML y JavaScript, y aparece tan pronto como la víctima interactúa con cualquier pájaro en el sitio de phishing”, dijo el investigador de seguridad Eliad Kimhy. “La página intenta ir a pantalla completa mediante código JavaScript, mientras que al mismo tiempo crea una ventana de Windows Update proporcionado convincente compuesta por un fondo zarco y texto blanco, que recuerda a la infame pantalla zarco de la homicidio de Windows”.
Lo sobresaliente del ataque es que se base en gran medida en la ofuscación para ocultar el código relacionado con ClickFix, encima de rodear a los usuarios para que no escapen de la alerta de pantalla completa al desactivar los recadero Escape y F11, yuxtapuesto con las teclas F5 y F12. Sin retención, correcto a una dialéctica defectuosa, los usuarios aún pueden presionar los recadero Escape y F11 para deshacerse de la pantalla completa.
El comando original ejecutado es una carga útil MSHTA que se inicia utilizando el binario mshta.exe auténtico, que, a su vez, contiene JavaScript diseñado para ejecutar un comando de PowerShell para recuperar otro script de PowerShell desde un servidor remoto. Estos dominios están diseñados de guisa que la navegación directa a estas direcciones redirija al becario a un sitio bondadoso como Google o Steam.
“Sólo cuando se accede al sitio a través de un comando irm o iwr PowerShell replica con el código correcto”, explicó Acronis. “Esto crea una capa adicional de confusión y prevención de disección”.
 |
| Solicitud de UAC para otorgar privilegios de administrador a los atacantes |
El script de PowerShell descargado asimismo incluye varios mecanismos de ofuscación y antianálisis, uno de los cuales es el uso de código basura para complicar los esfuerzos de disección. Igualmente intenta elevar los privilegios y crea exclusiones de Microsoft Defender Antivirus para direcciones y rutas de comando y control (C2) donde se almacenan las cargas bártulos.
Para ganar una ascenso de privilegios, el malware utiliza el cmdlet Start-Process yuxtapuesto con el parámetro “-Verb RunAs” para iniciar PowerShell con derechos administrativos y solicita permiso continuamente hasta que la víctima lo concede. Una vez que este paso se realiza correctamente, el script está diseñado para eliminar cargas bártulos adicionales, como simples troyanos de ataque remoto (RAT) que están programados para contactar a un servidor C2, presumiblemente para eliminar más malware.
Igualmente se ha observado que el script de PowerShell sirve hasta ocho cargas bártulos diferentes, y Acronis lo describe como el “ejemplo más atroz de rociar y rezar”. Estos incluyen Rhadamanthys Stealer, Vidar Stealer 2.0, RedLine Stealer, Amadey, así como otros cargadores y RAT no especificados.
“Si sólo una de estas cargas bártulos logra ejecutarse con éxito, las víctimas corren el peligro de perder contraseñas, billeteras criptográficas y más”, dijo Kimhy. “En el caso de algunos de estos cargadores, el atacante puede optar por incorporar otras cargas bártulos al ataque, y el ataque puede prosperar aún más rápidamente”.
La divulgación se produce cuando Huntress detalló una prisión de ejecución de malware de varias etapas que se origina a partir de un señuelo ClickFix disfrazado de puesta al día de Windows e implementa malware descuidero como Lumma y Rhadamanthys al ocultar las etapas finales interiormente de una imagen, una técnica conocida como esteganografía.
Como en el caso de la campaña ayer mencionada, el comando ClickFix copiado en el portapapeles y pegado en el cuadro de diálogo Ejecutar usa mshta.exe para ejecutar una carga útil de JavaScript que es capaz de ejecutar un script de PowerShell alojado de forma remota directamente en la memoria.
El código PowerShell se utiliza para descifrar e iniciar una carga útil de ensamblaje .NET, un cargador denominado Stego Loader que sirve como conducto para la ejecución de código shell empaquetado en Donut oculto interiormente de un archivo PNG incrustado y enigmático. Luego, el código shell extraído se inyecta en un proceso de destino para, en última instancia, implementar Lumma o Rhadamanthys.
Curiosamente, Acronis asimismo ha afectado uno de los dominios enumerados por Huntress como utilizado para recuperar el script de PowerShell (“securitysettings(.)live”), lo que sugiere que estos dos grupos de actividades pueden estar relacionados.
“El actor de amenazas a menudo cambia el URI (/tick.odd, /gpsc.dat, /ercx.dat, etc.) utilizado para penetrar la primera etapa mshta.exe”, dijeron los investigadores de seguridad Ben Folland y Anna Pham en el crónica.
“Encima, el actor de amenazas pasó de penetrar la segunda etapa en la configuración de seguridad del dominio (.) en vivo y en su puesto alojarla en xoiiasdpsdoasdpojas (.) com, aunque uno y otro apuntan a la misma dirección IP 141.98.80 (.) 175, que asimismo se usó para entregar la primera etapa (es sostener, el código JavaScript ejecutado por mshta.exe)”.
ClickFix ha tenido un gran éxito porque se base en un método simple pero efectivo, que consiste en atraer al becario para que infecte su propia máquina y eluda los controles de seguridad. Las organizaciones pueden defenderse contra tales ataques capacitando a los empleados para detectar mejor la amenaza y deshabilitando la casilla Ejecutar de Windows mediante cambios en el Registro o Política de familia.
