ClickFix, FileFix, CAPTCHA falso: como quiera que lo llames, los ataques en los que los usuarios interactúan con scripts maliciosos en su navegador web son una fuente cada vez mayor de violaciones de seguridad.
Los ataques ClickFix incitan al usuario a resolver algún tipo de problema o desafío en el navegador, normalmente un CAPTCHA, pero también cosas como corregir un error en una página web.
Sin embargo, el nombre es un poco engañoso: el factor clave del ataque es que engañan a los usuarios para que ejecuten comandos maliciosos en sus dispositivos copiando código malicioso del portapapeles de la página y ejecutándolo localmente.
|
| Ejemplos de señuelos ClickFix utilizados por atacantes en estado salvaje. |
Se sabe que el grupo de ransomware Interlock y otros prolíficos actores de amenazas, incluidas las APT patrocinadas por el estado, utilizan regularmente ClickFix. Varias filtraciones recientes de datos públicos se han relacionado con TTP similares a las de ClickFix, como las de Kettering Health, DaVita, City of St. Paul (Minnesota) y los centros de ciencias de la salud de la Universidad Tecnológica de Texas (y es probable que muchas más violaciones estén relacionadas con ClickFix cuando el vector del ataque no se conocía o desconocía).
Pero, ¿por qué estos ataques están demostrando ser tan eficaces?
Motivo 1: Los usuarios no están preparados para ClickFix
Durante la última década o más, la concienciación de los usuarios se ha centrado en impedir que los usuarios hagan clic en los enlaces de correos electrónicos sospechosos, descarguen archivos peligrosos e introduzcan su nombre de usuario y contraseña en sitios web aleatorios. No se ha centrado en abrir un programa y ejecutar un comando.
Las sospechas se reducen aún más si se tiene en cuenta que la acción maliciosa de copiar el portapapeles se realiza entre bastidores a través de JavaScript el 99% de las veces.
|
| Ejemplo de código JavaScript sin ofuscar que ejecuta la función de copia automáticamente en una página de ClickFix sin la intervención del usuario. |
Y dado que los sitios y señuelos modernos de ClickFix tienen un aspecto cada vez más legítimo (consulte el ejemplo siguiente), no es sorprendente que los usuarios se conviertan en víctimas.
|
| Uno de los señuelos de ClickFix de aspecto más legítimo: ¡este incluso tiene un vídeo incrustado que muestra al usuario qué hacer! |
Si tenemos en cuenta el hecho de que estos ataques se están alejando por completo del correo electrónico, no se ajusta al modelo del que los usuarios están entrenados para sospechar.
Se descubrió que el principal vector de entrega identificado por los investigadores de Push Security era Envenenamiento por SEO & publicidad maliciosa a través de la Búsqueda de Google. Al crear nuevos dominios o apoderarse de dominios legítimos, los atacantes están creando situaciones de abrevadero para interceptar a los usuarios que navegan por Internet.
Y aunque tuvieras sospechas, no hay un práctico botón de «denunciar suplantación de identidad» ni ningún flujo de trabajo para informar a tu equipo de seguridad sobre los resultados de la Búsqueda de Google, los mensajes de redes sociales, los anuncios en sitios web, etc.
Motivo 2: no se detecta ClickFix durante la entrega
Hay algunos aspectos por los que los controles técnicos no detectan los ataques de ClickFix.
Las páginas de ClickFix, al igual que otros sitios modernos de suplantación de identidad, utilizan una variedad de técnicas de detección y evasión que impiden que las herramientas de seguridad los marquen, desde escáneres de correo electrónico hasta herramientas de seguridad que rastrean la web y proxies web que analizan el tráfico de la red. La evasión de las detecciones consiste principalmente en camuflar y rotar los dominios para anticiparse a las detecciones que se sabe que son malas (es decir, las listas de bloqueo), utilizar la protección contra bots para evitar el análisis y ofuscar en gran medida el contenido de las páginas para evitar que se activen las firmas de detección.
Y mediante el uso vectores de entrega no relacionados con el correo electrónico, se elimina toda una capa de oportunidades de detección .
|
| Al igual que otros ataques de suplantación de identidad modernos, los señuelos ClickFix se distribuyen por Internet, no solo por correo electrónico. |
La publicidad maliciosa añade otra capa de segmentación a la imagen. Por ejemplo, Google Ads puede segmentarse a búsquedas procedentes de ubicaciones geográficas específicas, adaptarse a dominios de correo electrónico específicos o a tipos de dispositivos específicos (por ejemplo, ordenadores, dispositivos móviles, etc.). Si sabes dónde se encuentra tu público objetivo, puedes adaptar los parámetros del anuncio en consecuencia.
Junto con otras técnicas, como carga condicional Para obtener un señuelo adecuado para su sistema operativo (o no activarlo en absoluto a menos que se cumplan ciertas condiciones, por ejemplo, si se visita desde un sistema operativo móvil o desde fuera del rango de IP objetivo), los atacantes tienen una forma de llegar a un gran número de posibles víctimas y, al mismo tiempo, evitar los controles de seguridad a nivel del correo electrónico y evitar los análisis no deseados.
|
| Ejemplo de un señuelo ClickFix integrado en un sitio web codificado por vibraciones. |
Por último, dado que el código se copia dentro del entorno limitado del navegador, las herramientas de seguridad habituales no pueden observar ni marcar esta acción como potencialmente maliciosa. Esto significa que la última (y única) oportunidad para que las organizaciones detengan ClickFix es en el punto final, después de que el usuario haya intentado ejecutar el código malintencionado.
Razón 3: La EDR es la última y única línea de defensa, y no es infalible
El ataque tiene varias etapas que la EDR puede y debe interceptar, pero el nivel de detección que se alcance y el hecho de que una acción se bloquee en tiempo real dependen del contexto.
Como no se descargan archivos desde la web y el usuario es el que inicia el acto de ejecutar el código en la máquina, no hay ningún contexto que vincule la acción a otra aplicación para que parezca sospechosa. Por ejemplo, un PowerShell malintencionado ejecutado desde Outlook o Chrome puede parecer obviamente sospechoso, pero como lo inicia el usuario, queda aislado del contexto en el que se entregó el código.
Los propios comandos malintencionados pueden estar ofuscados o divididos en etapas para evitar que las reglas heurísticas los detecten fácilmente. La telemetría de EDR puede registrar la ejecución de un proceso de PowerShell, pero si no se sabe que hay una mala firma o una infracción evidente de una política, es posible que no lo detecte de inmediato.
La etapa final en la que el ataque debe ser interceptado por cualquier EDR acreditado es en el punto de ejecución del malware. Sin embargo, la evasión de la detección es un juego del gato y el ratón, y los atacantes siempre buscan formas de modificar su malware para evadir o desactivar las herramientas de detección. Por lo tanto, hay excepciones.
Y si es una organización que permite a los empleados y contratistas usar dispositivos BYOD no administrados, es muy probable que haya brechas en su cobertura de EDR.
En última instancia, las organizaciones se están dejando de confiar en una sola línea de defensa: si el EDR no detecta y bloquea el ataque, no se detecta en absoluto.
Por qué las recomendaciones estándar no son suficientes
La mayoría de las recomendaciones independientes del proveedor se han centrado en restringir el acceso a servicios como el cuadro de diálogo Ejecutar de Windows para los usuarios típicos. Sin embargo, aunque mshta y PowerShell siguen siendo los más utilizados, investigadores de seguridad ya han detectado una amplia gama de LOLBINS dirigidos a diferentes servicios, muchos de los cuales son difíciles de impedir que los usuarios accedan.
También vale la pena considerar cómo los ataques al estilo Clickfix pueden seguir evolucionando en el futuro. La ruta de ataque actual abarca tanto el navegador como el terminal. ¿Y si pudiera tener lugar completamente en el navegador y eludir por completo la EDR? Por ejemplo, pegando código JavaScript malintencionado directamente en las herramientas de desarrollo de una página web relevante.
|
| La ruta de ataque híbrida actual hace que el atacante lance señuelos en el navegador para comprometer el punto final y obtener acceso a las credenciales y cookies almacenadas en el navegador. ¿Y si pudieras saltarte por completo el punto final? |
Detener a ClickFix en primera línea: en el navegador
La última función de Push Security, detección maliciosa de copiar y pegar , aborda los ataques al estilo ClickFix lo antes posible mediante la detección y el bloqueo basados en el navegador. Se trata de un control de eficacia universal que funciona independientemente del canal de entrega del mensaje, el estilo y la estructura de la página o las características específicas del tipo de malware y de su ejecución.
A diferencia de las soluciones de DLP más potentes que bloquean por completo el proceso de copiar y pegar, Push protege a sus empleados sin interrumpir su experiencia de usuario ni obstaculizar la productividad.
Echa un vistazo al vídeo de abajo para obtener más información.
Obtenga más información
Si quieres obtener más información sobre los ataques de ClickFix y su evolución, echa un vistazo a este próximo seminario web donde los investigadores de Push Security analizarán ejemplos reales de ClickFix y demostrarán cómo funcionan los sitios de ClickFix de forma oculta.
La plataforma de seguridad basada en navegador de Push Security ofrece capacidades integrales de detección y respuesta a ataques contra técnicas como la suplantación de identidad automática, el robo de credenciales, la corrección de clics, las extensiones de navegador maliciosas y el secuestro de sesiones con tokens de sesión robados. También puedes usar Push para encontrar y corregir vulnerabilidades en las aplicaciones que usan tus empleados, como los inicios de sesión fantasmas, las brechas de cobertura del SSO, las brechas de MFA, las contraseñas vulnerables, las integraciones riesgosas de OAuth y más, para reforzar tu superficie de ataque de identidad.
Para obtener más información sobre Push, echa un vistazo a nuestro último resumen de productos o reserve algo de tiempo con un miembro de nuestro equipo para una demostración en vivo .