El equipo de investigadores de CybersecurityNews descubrió una sofisticada campaña de ingeniería social que está explotando la necesidad del público de acceso gratuito a Internet, utilizando portales de Wi-Fi engañosos para engañar a los usuarios para descargar y ejecutar malware basado en PowerShell.
Apodado el ataque “ClickFix”, este método convierte las acciones del navegador de un usuario contra ellos para comprometer su sistema bajo la apariencia de un paso simple de verificación humana.
Los objetivos de ataque en individuos en espacios públicos como aeropuertos, donde la promesa de “Wi-Fi gratuito” es un señuelo poderoso. Los usuarios desprevenidos que intentan conectarse son redirigidos a un portal cautivo diseñado pero falso.
Promesa WiFi gratuita (Fuente: CybersecurityNews Investigador Equipo)
Estas páginas, a menudo alojadas en direcciones IP inseguras en lugar de dominios legítimos, imitan pantallas de inicio de sesión de red reales, completa con logotipos y una solicitud de captcha para “demostrar que no es un robot”, una característica destinada a desarrollar una falsa sensación de seguridad.
Proceso de verificación engañoso
El núcleo del ataque ClickFix se encuentra en su inteligente manipulación del comportamiento del usuario. Después de que un usuario interactúa con el Captcha falso, aparece una ventana emergente con un conjunto de “Pasos de verificación”.
En lugar de un simple clic, las instrucciones guían al usuario a través de una secuencia específica de accesos directos de teclado: presione Ctrl+S para guardar la página web, navegue hasta la ventana Descargas del navegador y presione Entrar para abrir el archivo, dijo el equipo de investigadores de seguridad cibernética.
ClickFix PopUp (Fuente: CybersecurityNews Investigador Team)
Esta secuencia es un truco de ingeniería social diseñado para evitar las advertencias de seguridad del navegador estándar sobre la descarga de archivos ejecutables.
Al instruir al usuario que guarde la página y ejecute el archivo ellos mismos, los atacantes efectivamente obtienen el consentimiento para ejecutar código malicioso. El archivo descargado no es una imagen o documento, sino un script que inicia la infección.
Una vez que el usuario ejecuta sin saberlo el archivo descargado, se inicia un script de PowerShell malicioso.
El análisis de la cadena de ataque revela que este script actúa como un descargador, estableciendo una conexión a un servidor de comando y control para obtener la carga útil de malware primaria. En esta campaña, la carga útil se ha identificado como un troyano de red.
Ejecución de archivos (Fuente: CyberSecurityNews Investigador Team)
PowerShell es una herramienta poderosa para los atacantes porque está integrado en Windows y puede ejecutar comandos, scripts y cargas útiles directamente en la memoria, a menudo evadiendo la detección por soluciones antivirus tradicionales.
Este tipo de malware sin archivo se puede utilizar para una amplia gama de actividades maliciosas, que incluyen robar información confidencial, implementar ransomware o proporcionar una puerta trasera persistente para el acceso remoto al dispositivo comprometido.
Para salvaguardar contra esta amenaza, los usuarios deben mantenerse alerta al conectarse al Wi-Fi público, examinar cuidadosamente las URL de las páginas de inicio de sesión y ser muy cautelosos con cualquier sitio web que requiera comandos de teclado inusuales para la verificación.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
