Se ha enemigo múltiples grupos de piratería patrocinados por el estado de Irán, Corea del Meta y Rusia aprovechando la táctica de ingeniería social de ClickFix cada vez más popular para desplegar malware durante un período de tres meses desde finales de 2024 hasta principios de 2025.
Las campañas de phishing que adoptan la táctica se han atribuido a los grupos rastreados como TA427 (además conocido como Kimsuky), TA450 (además conocido como Muddywater), Unk_remoterogue y TA422 (además conocido como APT28).
ClickFix ha sido una técnica de llegada auténtico principalmente afiliada a los grupos de delitos cibernéticos, aunque la efectividad del enfoque además ha llevado a que los grupos de estado-estado además lo hayan prohijado.
“La incorporación de ClickFix no está revolucionando las campañas llevadas a extremidad por TA427, TA450, UNK_REMOTEROGO y TA422, sino que reemplaza las etapas de instalación y ejecución en las cadenas de infecciones existentes”, dijo la firma de seguridad empresarial PruebePoint en un mensaje publicado hoy.
ClickFix, en pocas palabras, se refiere a una técnica astuta que insta a los usuarios a infectar su propia máquina siguiendo una serie de instrucciones para copiar, pegar y ejecutar comandos maliciosos con el pretexto de solucionar un problema, completar una demostración de CaptCha o registrar su dispositivo.
Proofpoint dijo que detectó por primera vez a Kimsuky usando ClickFix en enero y febrero de 2025 como parte de una campaña de phishing que dirigió a las personas en menos de cinco organizaciones en el sector del corro de expertos.
“TA427 hizo contacto auténtico con el objetivo a través de una solicitud de reunión de un remitente falsificado entregado a los objetivos tradicionales de TA427 que trabajan en asuntos de Corea del Meta”, dijo el equipo de investigación de PROASPPOINT.
 |
| Cautiverio de infección de CLICKFIX TA427 |
“Luego de una breve conversación para involucrar al objetivo y producir confianza, como se ve a menudo en la actividad de TA427, los atacantes dirigieron al objetivo a un sitio controlado por los atacantes donde convencieron al objetivo de ejecutar un comando PowerShell”.
La dependencia de ataque, explicó la compañía, inició una secuencia de varias etapas que culminó en el despliegue de un troyano de llegada remoto de código extenso llamado Radiofuente Rat.
El mensaje de correo electrónico pretendía originarse en un diplomático japonés y le pidió al destinatario que organizara una reunión con el embajador japonés en los Estados Unidos. En el transcurso de la conversación, los actores de amenaza enviaron un PDF astuto que contenía un enlace a otro documento con una inventario de preguntas que se discutirán durante la reunión.
 |
| Cautiverio de infección de TA450 ClickFix |
Al hacer clic en el enlace, dirigió a la víctima a una página de destino falsa que imitaba el sitio web de la Embajada Japonesa, lo que les llevó a registrar su dispositivo copiando y pegando un comando en el diálogo de Windows ejecutar para descargar el cuestionario.
“El comando ClickFix PowerShell obtiene y ejecuta un segundo comando PowerShell alojado remotamente, que muestra el señuelo PDF referenciado anteriormente en la dependencia (cuestionario.pdf) al favorecido”, dijo Proofpoint. “El documento afirmaba ser del Profesión de Asuntos Exteriores en Japón y contenía preguntas sobre la proliferación y política nuclear en el noreste de Asia”.
El segundo script PowerShell está configurado para crear un script Visual Basic que se ejecuta cada 19 minutos por medio de una tarea programada, que, a su vez, descarga dos scripts por lotes que crean, decodifican y ejecutan la carga útil de Radiofuente Rat. Vale la pena señalar que Microsoft documentó una variación de esta dependencia de ataque en febrero de 2025.
 |
| Unk_remoterogue dependencia de infección por clickfix |
El segundo corro de estado-nación que se enfrenta a ClickFix es el corro Muddywater mezclado a Irán que ha trabajador la técnica para el software permitido de monitoreo y mandato remota (RMM) como el nivel para perdurar el llegada persistente.
Los correos electrónicos de phishing, enviados el 13 y 14 de noviembre de 2024, coinciden con las actualizaciones del martes de Microsoft Patch, disfrazadas de una aggiornamento de seguridad del coloso tecnológico, pidiendo a los destinatarios de mensajes que sigan las instrucciones al estilo ClickFix para tocar una supuesta vulnerabilidad.
“Los atacantes desplegaron la técnica ClickFix persuadiendo al objetivo para ejecutar primero PowerShell con privilegios de administrador, luego copiar y ejecutar un comando contenido en el cuerpo de correo electrónico”, dijo Proofpoint.
“El comando fue responsable de instalar el software de filial y monitoreo remotos (RMM), en este caso, el nivel, a posteriori de lo cual los operadores de TA450 abusarán de la utensilio RMM para realizar datos de espionaje y exfiltrado de la máquina del objetivo”.
Se dice que la campaña TA450 ClickFix se dirige a los sectores de finanzas, gobierno, salubridad, educación y transporte en todo el Medio Oriente, con afectación en los Emiratos Árabes Unidos (EAU) y Arabia Saudita, así como en los ubicados en Canadá, Alemania, Suiza y los Estados Unidos.
Incluso observó tocar el Bandwagon de ClickFix es un supuesto corro ruso rastreado como unk_remoterogue cerca de fines del año pasado utilizando correos electrónicos de señuelo enviados desde servidores Zimbra probablemente comprometidos que incluían un enlace a un documento de Microsoft Office.
 |
| Confín de tiempo de campañas estereotipado y avistamientos de ClickFix (julio de 2024 – marzo de 2025) |
Examinar el enlace mostró una página que contiene instrucciones para copiar código del navegador en su terminal, próximo con un tutorial de video de YouTube sobre cómo ejecutar PowerShell. El comando PowerShell estaba equipado con capacidades para ejecutar JavaScript que ejecutó el código PowerShell vinculado al ámbito Empire Command and Control (C2).
Proofpoint dijo que la campaña envió 10 mensajes a las personas en dos organizaciones asociadas con un importante fabricante de armas en la industria de defensa. Incluso se ha descubierto que unk_remoterogue comparte superposiciones de infraestructura con otra campaña de phishing que se dirigió a las entidades de defensa y aeroespaciales con enlaces al conflicto en curso en Ucrania para cosechar credenciales de correo web a través de páginas de inicio de sesión falsas.
“Múltiples ejemplos de actores patrocinados por el estado que usan ClickFix han demostrado no solo la popularidad de la técnica entre los actores estatales, sino además su uso por parte de varios países con unas semanas de diferencia”, dijo la compañía. “Aunque no es una técnica de uso persistente, es probable que más actores de amenaza de Corea del Meta, Irán y Rusia además hayan probado y probado ClickFix o en el futuro cercano”.
