Los ataques de ingeniería social, incluidos los llamados ataques ClickFix, son una de las formas más comunes de propagar malware, infectar computadoras o robar datos. En términos de seguridad de la red, El factor humano sigue siendo el eslabón más débil de la cadena. Como vemos con las campañas de robo de identidad, phishing o ransomware, todas comienzan de la misma manera: aprovechando el elemento humano.

Los investigadores de seguridad de Huntress han descubierto una evolución sofisticada del ataque ClickFix, en el que los ciberdelincuentes combinaron Animación realista y falsa de actualización de Windows utilizando técnicas avanzadas de ingeniería social Dañar el sistema. Al igual que otros ataques de ingeniería social, el objetivo de estos ataques es engañar a los usuarios para que realicen acciones que el software de seguridad normalmente bloquearía al intentar obtener acceso automáticamente. Este tipo de ataque es muy utilizado por ciberdelincuentes de todos los niveles debido a su eficacia, y sigue evolucionando, con señuelos como el anterior volviéndose más avanzados y engañosos.

En estas nuevas variantes, las víctimas se enfrentan a una página de navegador en pantalla completa que emula una actualización de seguridad crítica de Windows o un código de verificación de «verificación humana». La página solicita al usuario que presione una secuencia de teclas específica para resolver un error o verificar su identidad.

Sin que el usuario lo supiera, el JavaScript que se ejecutaba en el sitio web malicioso había copiado el comando malicioso en el portapapeles. Si sigue las pulsaciones de teclas, lo que normalmente implica pegarlas en el cuadro de diálogo Ejecutar de Windows o en el símbolo del sistema, puede ejecutar sin darse cuenta el código del atacante.

De hecho, Es muy inteligente y por eso da miedo.. Lo que hace que esta campaña en particular sea única es el uso de esteganografía para ocultar la carga útil del malware. En lugar de descargar un archivo malicioso reconocible, el atacante oculta el código dentro de los datos de píxeles de la imagen PNG.

Los investigadores de Huntress explican que el código malicioso es Codifique directamente dentro de canales de color específicos de una imagen. Para el observador casual o alguien con un análisis de seguridad básico, el archivo puede parecer una imagen inocua. Sin embargo, la cadena de ataque incluye un ensamblado .NET llamado «Stego Loader». Este cargador se encarga de analizar la imagen, extraer la carga útil cifrada de los píxeles y descifrarla en la memoria.

como funciona

Imagina que el sitio web que estás navegando muestra un error falso en pantalla completa, como actualización de Windows o autenticación bloqueada. El script en segundo plano del sitio web copia el código malicioso en el portapapeles de la computadora. Se le pedirá que abra el símbolo del sistema de Windows y pegue el texto para resolver el problema. Cuando presiona la tecla «Enter», el comando descarga un archivo de imagen aparentemente inofensivo que en realidad contiene malware descifrado por el ensamblador. La función de punto de entrada inicia llamadas a más de 10.000 funciones vacías antes de ejecutar la carga útil real para agotar o confundir las herramientas de análisis.

Es posible que los usuarios avanzados no sean víctimas de este tipo de ataque ClickFix, pero Cualquiera puede hacer clic en un enlace mientras navega por Internet y provocar un desastre..