La táctica de ingeniería social de ClickFix como un vector de comunicación auténtico que utiliza verificaciones falsas de captcha aumentó en un 517% entre la segunda porción de 2024 y la primera porción de este año, según datos de ESET.
“La letanía de amenazas a las que los ataques de clickFix conducen es crecer durante el día, incluidos los infostadores, el ransomware, los troyanos de comunicación remoto, los criptominadores, las herramientas de explotación posterior e incluso el malware personalizado de los actores de amenazas alineados en el estado-nación”, dijo Jiří Kropáč, director de laboratorios de prevención de amenazas en ESET,.
ClickFix se ha convertido en un método ampliamente popular y engañoso que emplea mensajes de error falsos o verificaciones de comprobación Captcha para atraer a las víctimas a copiar y pegar un script ladino en el diálogo de Windows Ejecutar o la aplicación Terminal Apple MacOS, y ejecutarlo.
La compañía de ciberseguridad eslovacas dijo que el viejo convexidad de detecciones de clickfix se concentra cerca de de Japón, Perú, Polonia, España y Eslovaquia.
La prevalencia y la efectividad de este método de ataque han llevado a que los actores de amenaza publicitaran a los constructores que brindan a otros atacantes páginas de destino con unir, agregó ESET.
Desde ClickFix a FileFix
El explicación se produce cuando el investigador de seguridad MRD0X demostró una alternativa de prueba de concepto (POC) a ClickFix con nombre de FileFix que funciona al engañar a los usuarios para copiar y pegar una ruta de archivo en Windows File Explorer.
La técnica esencialmente implica obtener lo mismo que ClickFix pero de guisa diferente combinando la capacidad del Explorador de archivos para ejecutar comandos del sistema eficaz a través de la mostrador de direcciones con la función de carga de archivos de un navegador web.
En el escena de ataque ideado por el investigador, un actor de amenaza puede idear una página de phishing que, en oficio de mostrar una comprobación de captcha falsa al objetivo prospectivo, presenta un mensaje que indica que un documento se ha compartido con ellos y que necesitan copiar y pegar la ruta del archivo en la mostrador de direcciones presionando Ctrl + L.
La página de phishing todavía incluye un destacado “Explorador de archivos libre” que, al hacer clic, abre el Explorador de archivos y copia un comando Ladino PowerShell al portapapeles del sucesor. Por lo tanto, cuando la víctima pega la “ruta del archivo”, el comando del atacante se ejecuta en su oficio.
Esto, a su vez, se logra alterando la ruta del archivo copiado para prever el comando PowerShell antaño de seguir agregando espacios para ocultarlo de la sagacidad y un signo de libra (“#”) para tratar la ruta del archivo hipócrita como un comentario: “Powershell.exe -c ping ejemplo.com
“Encima, nuestro comando PowerShell concatenará la ruta del archivo ficticio a posteriori de un comentario para ocultar el comando y mostrar la ruta del archivo”, dijo MRD0X.
Cantidad de phishing en exceso
El aumento en las campañas de ClickFix todavía coincide con el descubrimiento de varias campañas de phishing en las últimas semanas que –
- Aproveche un dominio .gov para remitir correos electrónicos de phishing que se disfrazan de peaje no remunerado para aguantar a los usuarios a páginas falsas diseñadas para compendiar su información personal y financiera
- Utilice los dominios de larga vida (LLDS), una técnica indicación envejecimiento de dominio clave, para encajar o usarlos para redirigir a los usuarios a las páginas de control de captcha personalizadas, completando las que se llevan a las páginas de equipos de Microsoft falsificadas para robar sus credenciales de cuenta de Microsoft.
- Distribuya los archivos de Ladino Windows Shortcut (LNK) adentro de ZIP Archives para iniciar el código PowerShell responsable de implementar REMCOS RAT
- Emplee señuelos que supuestamente advierten a los usuarios que su casillero está casi repleto y que necesitan “borrar el almacenamiento” haciendo clic en un clavija integrado en el mensaje, realizando lo que lleva al sucesor a una página de phishing alojada en IPF que roba las credenciales de correo electrónico de los usuarios. Curiosamente, los correos electrónicos todavía incluyen un archivo adjunto de archivo RAR que, una vez extraído y ejecutado, deja caer el malware Xworm.
- Incorporar una URL que deja a un documento PDF, que, a su vez, contiene otra URL que deja caer un archivo postal, que incluye un ejecutable responsable de divulgar un robador de lumma basado en necroscopía
- Arsenal una plataforma delantero legítima indicación Vercel
- Iguas a los departamentos estatales de los Vehículos Motorizados (DMV) de EE. UU. Para remitir mensajes SMS sobre violaciones de peaje no remuneradas y redirigir a los receptores a sitios engañosos que cosechan información personal y detalles de la plástico de crédito
- Utilice correos electrónicos con temas de SharePoint para redirigir a los usuarios a las páginas de cosecha de credenciales alojadas en los dominios “.Sharepoint (.) Com” que desvíe las contraseñas de la cuenta de Microsoft de los usuarios.
“Los correos electrónicos que contienen enlaces de SharePoint tienen menos probabilidades de ser marcados como maliciosos o phishing por EDR o software antivirus. Los usuarios todavía tienden a ser menos sospechosos, creyendo que los enlaces de Microsoft son inherentemente más seguros”, dijo Cyberproof.
“Cedido que las páginas de phishing se alojan en SharePoint, a menudo son dinámicas y accesibles solo a través de un enlace específico durante un tiempo definido, lo que las hace más difíciles para los rastreadores automatizados, escáneres y cajas de arena para detectar”.
