ClickFix, FileFix, CAPTCHA falso: como quiera que se llame, los ataques en los que los usuarios interactúan con scripts maliciosos en su navegador web son una fuente de violaciones de seguridad en rápido crecimiento.
Los ataques ClickFix solicitan al usuario que resuelva algún tipo de problema o desafío en el navegador, más comúnmente un CAPTCHA, pero también cosas como corregir un error en una página web.
Sin embargo, el nombre es un poco engañoso: el factor clave del ataque es que engañan a los usuarios para que ejecuten comandos maliciosos en su dispositivo copiando código malicioso del portapapeles de la página y ejecutándolo localmente.
 |
| Ejemplos de señuelos ClickFix utilizados por atacantes en la naturaleza. |
Se sabe que ClickFix es utilizado regularmente por el grupo de ransomware Interlock y otros prolíficos actores de amenazas, incluidas las APT patrocinadas por el estado. Varias violaciones recientes de datos públicos se han relacionado con TTP de estilo ClickFix, como Kettering Health, DaVita, City of St. Paul, Minnesota y los Centros de Ciencias de la Salud de la Universidad Tecnológica de Texas (y es probable que muchas más violaciones involucren a ClickFix donde el vector de ataque no se conocía ni se divulgaba).
Pero ¿por qué estos ataques resultan tan eficaces?
Razón 1: los usuarios no están preparados para ClickFix
Durante la última década o más, la concienciación de los usuarios se ha centrado en evitar que hagan clic en enlaces de correos electrónicos sospechosos, descarguen archivos peligrosos e introduzcan su nombre de usuario y contraseña en sitios web aleatorios. No se ha centrado en abrir un programa y ejecutar un comando.
La sospecha se reduce aún más si se considera que la acción maliciosa de copia del portapapeles se realiza detrás de escena a través de JavaScript el 99% de las veces.
 |
| Ejemplo de código JavaScript no ofuscado que realiza la función de copia automáticamente en una página ClickFix sin intervención del usuario. |
Y dado que los sitios y señuelos ClickFix modernos parecen cada vez más legítimos (consulte el ejemplo a continuación), no sorprende que los usuarios sean víctimas.
 |
| Uno de los señuelos ClickFix de apariencia más legítima: ¡este incluso tiene un video incrustado que muestra al usuario qué hacer! |
Cuando se considera el hecho de que estos ataques se están alejando por completo del correo electrónico, no se ajusta al modelo de aquello de lo que los usuarios están entrenados para sospechar.
Se descubrió que el principal vector de entrega identificado por los investigadores de Push Security era Envenenamiento SEO & publicidad maliciosa a través de la Búsqueda de Google. Al crear nuevos dominios o hacerse cargo de los legítimos, los atacantes están creando escenarios de abrevadero para interceptar a los usuarios que navegan por Internet.
E incluso si sospechara, no existe un botón o flujo de trabajo conveniente para «reportar phishing» para notificar a su equipo de seguridad sobre los resultados de la Búsqueda de Google, mensajes de redes sociales, anuncios de sitios web, etc.
Razón 2: ClickFix no se detecta durante la entrega
Hay algunos aspectos de por qué los controles técnicos no detectan los ataques ClickFix.
Las páginas de ClickFix, al igual que otros sitios de phishing modernos, utilizan una variedad de técnicas de evasión de detección que impiden que las herramientas de seguridad los marquen, desde escáneres de correo electrónico hasta herramientas de seguridad de rastreo web y servidores proxy web que analizan el tráfico de la red. La evasión de detección implica principalmente camuflar y rotar dominios para adelantarse a las detecciones malas conocidas (es decir, listas de bloqueo), usar protección contra bots para evitar el análisis y ofuscar en gran medida el contenido de la página para evitar que se activen las firmas de detección.
 |
| Al igual que otros ataques de phishing modernos, los señuelos ClickFix se distribuyen por Internet, no solo por correo electrónico. |
La publicidad maliciosa añade otra capa de segmentación al panorama. Por ejemplo, Google Ads puede orientarse a búsquedas provenientes de ubicaciones geográficas específicas, adaptarse a coincidencias de dominios de correo electrónico específicos o tipos de dispositivos específicos (por ejemplo, computadoras de escritorio, dispositivos móviles, etc.). Si sabe dónde se encuentra su objetivo, puede adaptar los parámetros del anuncio en consecuencia.
Junto con otras técnicas, como carga condicional Para devolver un señuelo apropiado para su sistema operativo (o no activarse en absoluto a menos que se cumplan ciertas condiciones, por ejemplo, está visitando desde un sistema operativo móvil o desde fuera del rango de IP objetivo), los atacantes tienen una manera de llegar a una gran cantidad de víctimas potenciales mientras evitan los controles de seguridad en la capa de correo electrónico y previenen análisis no deseados.
 |
| Ejemplo de un señuelo ClickFix integrado en un sitio codificado por vibración. |
Finalmente, debido a que el código se copia dentro del entorno limitado del navegador, las herramientas de seguridad típicas no pueden observar ni marcar esta acción como potencialmente maliciosa. Esto significa que la última (y única) oportunidad para que las organizaciones detengan ClickFix está en el punto final, después de que el usuario haya intentado ejecutar el código malicioso.
Razón 3: EDR es la última y única línea de defensa, y no es infalible
Hay múltiples etapas del ataque que pueden y deben ser interceptadas por EDR, pero el nivel de detección elevado y si una acción se bloquea en tiempo real depende del contexto.
Debido a que no hay descarga de archivos desde la web y el usuario inicia el acto de ejecutar el código en la máquina, no hay ningún contexto que vincule la acción a otra aplicación para que parezca sospechosa. Por ejemplo, un PowerShell malicioso ejecutado desde Outlook o Chrome parecería obviamente sospechoso, pero como lo inicia el usuario, está aislado del contexto donde se entregó el código.
Los propios comandos maliciosos pueden ofuscarse o dividirse en etapas para evitar una fácil detección mediante reglas heurísticas. La telemetría de EDR puede registrar que se ejecutó un proceso de PowerShell, pero sin una firma incorrecta conocida o una infracción clara de la política, es posible que no lo marque de inmediato.
La etapa final en la que cualquier EDR acreditado debería interceptar el ataque es en el punto de ejecución del malware. Pero la evasión de detección es un juego del gato y el ratón, y los atacantes siempre están buscando formas de modificar su malware para evadir o desactivar las herramientas de detección. Entonces, ocurren excepciones.
Y si su organización permite a los empleados y contratistas utilizar dispositivos BYOD no administrados, existe una gran posibilidad de que existan lagunas en su cobertura EDR.
En última instancia, las organizaciones dependen de una única línea de defensa: si EDR no detecta y bloquea el ataque, no se detecta en absoluto.
Por qué las recomendaciones estándar se quedan cortas
La mayoría de las recomendaciones independientes del proveedor se han centrado en restringir el acceso a servicios como el cuadro de diálogo Ejecutar de Windows para usuarios típicos. Pero aunque mshta y PowerShell siguen siendo los más observados, investigadores de seguridad Ya hemos detectado una amplia gama de LOLBINS dirigidos a diferentes servicios, a muchos de los cuales es difícil impedir que los usuarios accedan.
También vale la pena considerar cómo los ataques estilo ClickFix pueden seguir evolucionando en el futuro. La ruta de ataque actual abarca el navegador y el endpoint: ¿qué pasaría si pudiera tener lugar completamente en el navegador y evadir la EDR por completo? Por ejemplo, pegando JavaScript malicioso directamente en las herramientas de desarrollo de una página web relevante.
 |
| En la ruta de ataque híbrida actual, el atacante entrega señuelos en el navegador para comprometer el punto final y obtener acceso a los créditos y las cookies almacenados en el navegador. ¿Qué pasaría si pudieras omitir el punto final por completo? |
Detener ClickFix en primera línea: en el navegador
La última característica de Push Security, Detección maliciosa de copiar y pegaraborda los ataques de estilo ClickFix lo antes posible mediante la detección y el bloqueo basados en el navegador. Se trata de un control universalmente eficaz que funciona independientemente del canal de entrega del señuelo, el estilo y la estructura de la página o las características específicas del tipo y ejecución del malware.
A diferencia de las pesadas soluciones DLP que bloquean por completo el proceso de copiar y pegar, Push protege a sus empleados sin interrumpir su experiencia de usuario ni obstaculizar la productividad.
Mira el vídeo a continuación para obtener más información.
Más información
Si desea obtener más información sobre los ataques ClickFix y cómo están evolucionando, echa un vistazo a este próximo seminario web donde los investigadores de Push Security se sumergirán en ejemplos de ClickFix del mundo real y demostrarán cómo funcionan los sitios ClickFix bajo el capó.
La plataforma de seguridad basada en navegador de Push Security proporciona capacidades integrales de detección y respuesta a ataques contra técnicas como phishing AiTM, relleno de credenciales, ClickFixing, extensiones de navegador maliciosas y secuestro de sesiones mediante tokens de sesión robados. También puede usar Push para encontrar y corregir vulnerabilidades en las aplicaciones que usan sus empleados, como inicios de sesión fantasmas, brechas de cobertura de SSO, brechas de MFA, contraseñas vulnerables, integraciones OAuth riesgosas y más, para fortalecer su superficie de ataque de identidad.
Para obtener más información sobre Push, consulte nuestra última descripción general de productos o reserve algo de tiempo con uno de nuestro equipo para una demostración en vivo.