ClickFix, FileFix, CAPTCHA aparente: como quiera que se llame, los ataques en los que los usuarios interactúan con scripts maliciosos en su navegador web son una fuente de violaciones de seguridad en rápido crecimiento.
Los ataques ClickFix solicitan al becario que resuelva algún tipo de problema o desafío en el navegador, más comúnmente un CAPTCHA, pero además cosas como corregir un error en una página web.
Sin retención, el nombre es un poco engañoso: el cifra esencia del ataque es que engañan a los usuarios para que ejecuten comandos maliciosos en su dispositivo copiando código astuto del portapapeles de la página y ejecutándolo localmente.
 |
| Ejemplos de señuelos ClickFix utilizados por atacantes en la naturaleza. |
Se sabe que ClickFix es utilizado regularmente por el reunión de ransomware Interlock y otros prolíficos actores de amenazas, incluidas las APT patrocinadas por el estado. Varias violaciones recientes de datos públicos se han relacionado con TTP de estilo ClickFix, como Kettering Health, DaVita, City of St. Paul, Minnesota y los Centros de Ciencias de la Salubridad de la Universidad Tecnológica de Texas (y es probable que muchas más violaciones involucren a ClickFix donde el vector de ataque no se conocía ni se divulgaba).
Pero ¿por qué estos ataques resultan tan eficaces?
Razón 1: los usuarios no están preparados para ClickFix
Durante la última decenio o más, la concienciación de los usuarios se ha centrado en evitar que hagan clic en enlaces de correos electrónicos sospechosos, descarguen archivos peligrosos e introduzcan su nombre de becario y contraseña en sitios web aleatorios. No se ha centrado en rasgar un software y ejecutar un comando.
La sospecha se reduce aún más si se considera que la entusiasmo maliciosa de copia del portapapeles se realiza detrás de ambiente a través de JavaScript el 99% de las veces.
 |
| Ejemplo de código JavaScript no ofuscado que realiza la función de copia automáticamente en una página ClickFix sin intervención del becario. |
Y poliedro que los sitios y señuelos ClickFix modernos parecen cada vez más legítimos (consulte el ejemplo a continuación), no sorprende que los usuarios sean víctimas.
 |
| Uno de los señuelos ClickFix de apariencia más legítima: ¡este incluso tiene un video incrustado que muestra al becario qué hacer! |
Cuando se considera el hecho de que estos ataques se están alejando por completo del correo electrónico, no se ajusta al maniquí de aquello de lo que los usuarios están entrenados para sospechar.
Se descubrió que el principal vector de entrega identificado por los investigadores de Push Security era Envenenamiento SEO & publicidad maliciosa a través de la Búsqueda de Google. Al crear nuevos dominios o hacerse cargo de los legítimos, los atacantes están creando escenarios de aguadero para interceptar a los usuarios que navegan por Internet.
E incluso si sospechara, no existe un gema o flujo de trabajo conveniente para “reportar phishing” para advertir a su equipo de seguridad sobre los resultados de la Búsqueda de Google, mensajes de redes sociales, anuncios de sitios web, etc.
Razón 2: ClickFix no se detecta durante la entrega
Hay algunos aspectos de por qué los controles técnicos no detectan los ataques ClickFix.
Las páginas de ClickFix, al igual que otros sitios de phishing modernos, utilizan una variedad de técnicas de entretenimiento de detección que evitan que las herramientas de seguridad las marquen, desde escáneres de correo electrónico hasta herramientas de seguridad de rastreo web y servidores proxy web que analizan el tráfico de la red. La entretenimiento de detección implica principalmente camuflar y rotar dominios para adelantarse a las detecciones malas conocidas (es asegurar, listas de retiro), usar protección contra bots para evitar el examen y ofuscar en gran medida el contenido de la página para evitar que se activen las firmas de detección.
Y al utilizar vectores de entrega que no son correo electrónico, se elimina toda una capa de oportunidades de detección.
 |
| Al igual que otros ataques de phishing modernos, los señuelos ClickFix se distribuyen por Internet, no solo por correo electrónico. |
La publicidad maliciosa añade otra capa de segmentación al panorama. Por ejemplo, Google Ads puede orientarse a búsquedas provenientes de ubicaciones geográficas específicas, adaptarse a coincidencias de dominios de correo electrónico específicos o tipos de dispositivos específicos (por ejemplo, computadoras de escritorio, dispositivos móviles, etc.). Si sabe dónde se encuentra su objetivo, puede adaptar los parámetros del anuncio en consecuencia.
Unido con otras técnicas, como la carga condicional para devolver un señuelo apropiado para su sistema operante (o no activarse en completo a menos que se cumplan ciertas condiciones, por ejemplo, está visitando desde un sistema operante móvil o desde fuera de un rango de IP objetivo), los atacantes tienen una guisa de aparecer a una gran cantidad de víctimas potenciales mientras evitan los controles de seguridad en la capa de correo electrónico y evitan examen no deseados.
 |
| Ejemplo de un señuelo ClickFix integrado en un sitio codificado por trepidación. |
Finalmente, oportuno a que el código se copia interiormente del entorno condicionado del navegador, las herramientas de seguridad típicas no pueden observar ni marcar esta entusiasmo como potencialmente maliciosa. Esto significa que la última (y única) oportunidad para que las organizaciones detengan ClickFix está en el punto final, a posteriori de que el becario haya intentado ejecutar el código astuto.
Razón 3: EDR es la última y única itinerario de defensa, y no es infalible
Hay múltiples etapas del ataque que pueden y deben ser interceptadas por EDR, pero el nivel de detección elevado y si una entusiasmo se bloquea en tiempo auténtico depende del contexto.
Oportuno a que no hay descarga de archivos desde la web y el becario inicia el acto de ejecutar el código en la máquina, no hay ningún contexto que vincule la entusiasmo a otra aplicación para que parezca sospechosa. Por ejemplo, un PowerShell astuto ejecutado desde Outlook o Chrome parecería obviamente sospechoso, pero como lo inicia el becario, está incomunicación del contexto donde se entregó el código.
Los propios comandos maliciosos pueden ofuscarse o dividirse en etapas para evitar una casquivana detección mediante reglas heurísticas. La telemetría de EDR puede registrar que se ejecutó un proceso de PowerShell, pero sin una firma incorrecta conocida o una infracción clara de la política, es posible que no lo marque de inmediato.
La etapa final en la que cualquier EDR acreditado debería interceptar el ataque es en el punto de ejecución del malware. Pero la entretenimiento de detección es un mecanismo del felino y el ratón, y los atacantes siempre están buscando formas de modificar su malware para esquivar o desactivar las herramientas de detección. Entonces, ocurren excepciones.
Y si su estructura permite a los empleados y contratistas utilizar dispositivos BYOD no administrados, existe una gran posibilidad de que existan lagunas en su cobertura EDR.
En última instancia, las organizaciones dependen de una única itinerario de defensa: si EDR no detecta y bloquea el ataque, no se detecta en completo.
Por qué las recomendaciones normalizado se quedan cortas
La mayoría de las recomendaciones independientes del proveedor se han centrado en restringir el comunicación a servicios como el cuadro de diálogo Ejecutar de Windows para usuarios típicos. Pero aunque mshta y PowerShell siguen siendo los más comúnmente observados, los investigadores de seguridad ya han detectado una amplia grado de LOLBINS dirigidos a diferentes servicios, a muchos de los cuales es difícil impedir que los usuarios accedan.
Todavía vale la pena considerar cómo los ataques estilo ClickFix pueden seguir evolucionando en el futuro. La ruta de ataque flagrante albarca el navegador y el endpoint: ¿qué pasaría si pudiera tener superficie completamente en el navegador y esquivar la EDR por completo? Por ejemplo, pegando JavaScript astuto directamente en las herramientas de incremento de una página web relevante.
 |
| En la ruta de ataque híbrida flagrante, el atacante entrega señuelos en el navegador para comprometer el punto final y obtener comunicación a los créditos y las cookies almacenados en el navegador. ¿Qué pasaría si pudieras eludir el punto final por completo? |
Detener ClickFix en primera itinerario: en el navegador
La última característica de Push Security, la detección de copiar y pegar maliciosos, aborda los ataques de estilo ClickFix lo ayer posible mediante la detección y el retiro basados en el navegador. Se proxenetismo de un control internacionalmente eficaz que funciona independientemente del canal de entrega del señuelo, el estilo y la estructura de la página o las características específicas del tipo y ejecución del malware.
A diferencia de las pesadas soluciones DLP que bloquean por completo el proceso de copiar y pegar, Push protege a sus empleados sin interrumpir su experiencia de becario ni obstaculizar la productividad.
Mira el vídeo a continuación para obtener más información.
Más información
Si desea obtener más información sobre los ataques ClickFix y cómo están evolucionando, consulte este próximo seminario web en el que los investigadores de Push Security se sumergirán en ejemplos de ClickFix del mundo auténtico y demostrarán cómo funcionan los sitios ClickFix bajo el capó.
La plataforma de seguridad basada en navegador de Push Security proporciona capacidades integrales de detección y respuesta a ataques contra técnicas como phishing AiTM, relleno de credenciales, ClickFixing, extensiones de navegador maliciosas y secuestro de sesiones mediante tokens de sesión robados. Todavía puede usar Push para encontrar y corregir vulnerabilidades en las aplicaciones que usan sus empleados, como inicios de sesión fantasmas, brechas de cobertura de SSO, brechas de MFA, contraseñas vulnerables, integraciones OAuth riesgosas y más, para blindar su superficie de ataque de identidad.
Para obtener más información sobre Push, consulte nuestra descripción común de productos más nuevo o reserve una cita con uno de nuestro equipo para una demostración en vivo.
