El kit de phishing IUAM ClickFix Generator ha sido detectado como una nueva amenaza que automatiza y masifica la técnica de ingeniería social conocida como ClickFix. Esta herramienta permite a atacantes, incluso con bajos conocimientos técnicos, desplegar cebos convincentes que engañan a las víctimas para que ejecuten manualmente malware (infostealers y RATs) en sus sistemas, saltándose numerosos controles de seguridad automatizados.
¿Qué es un Ataque ClickFix y Por Qué Es Peligroso?
El ataque ClickFix es una técnica de phishing que explota la confianza y obediencia del usuario.
- Mecanismo: El usuario es dirigido a una página maliciosa que simula un control de verificación de seguridad o anti-bots (ej., “Just a moment…”). Al hacer clic en el botón de verificación, un script de JavaScript malicioso se ejecuta y copia automáticamente un comando dañino (PowerShell, Terminal, etc.) al portapapeles.
- Engaño Humano: Se le pide a la víctima que pegue y ejecute manualmente el comando (a menudo en Win+R o la terminal) para “completar la verificación”. Si la víctima obedece, el comando descarga y lanza el malware.
- Evasión de Controles: El paso manual es clave: la intervención humana permite que el ataque salte sandboxing, filtros de descarga y detección basada en firmas, ya que el malware no se descarga directamente, sino que se ejecuta por un comando legítimo del sistema.
El IUAM ClickFix Generator: Comoditización del Engaño
El kit automatiza este proceso mediante una interfaz gráfica, lo que facilita la creación de ataques a gran escala:
- Adaptabilidad: Puede detectar el Sistema Operativo del objetivo (Windows o macOS) y servir comandos adaptados (PowerShell para Windows, Base64 ofuscado para macOS).
- Personalización: Permite configurar dominios falsos, textos multilingües y opciones de ofuscación, haciendo que la página parezca legítima y esté optimizada para el engaño.
Indicadores de compromiso (IOcs)
La defensa requiere detectar tanto la infraestructura (IOCs) como el comportamiento anómalo en el endpoint.
Infraestructura (IOCs Críticos)
Los equipos de seguridad deben aplicar y monitorear los siguientes indicadores de compromiso, extraídos del análisis de Unit 42:
- Servidor del Kit / Hosting: 38.242.212.5 (Servidor del IUAM ClickFix Generator)
- Dominios / Señuelos:
- tradingview[.]connect-app[.]us[.]com
- treadingveew[.]last-desk[.]org
- teamsonsoft[.]com
- claudflurer[.]com
- IPs C2 (Odyssey): 45.146.130[.]129, 45.135.232[.]33, 83.222.190[.]214
TTPs y Comportamiento en el Endpoint
- Inyección en el Navegador: Monitorear sitios web que inyectan scripts para usar la función clipboard-write y que muestran prompts de “verificación” inusuales.
- Ejecución de Comandos Anómalos: Configurar alertas para la ejecución de PowerShell con comandos altamente sospechosos como Invoke-WebRequest, IEX o el uso de EncodedCommand.
- Correlación de Eventos: Buscar la correlación temporal entre la visita a un dominio sospechoso y la ejecución inmediata de procesos como cmd, powershell, o msiexec a través de acciones como Win+R por parte del usuario.
Recomendaciones
Crítico
- Bloqueo de IOCs: Aplicar de inmediato los IPs y dominios de la lista en firewalls, servidores DNS y proxies (en modo monitor primero, luego bloqueo forzado).
- Alerta de Ejecución de Scripts: Configurar el EDR/IPS para generar alertas de alta severidad cuando se detecte el uso de EncodedCommand, IEX (Invoke-Expression) o descargas de ejecutables desde URLs no confiables a través de PowerShell.
- Educación Justo a Tiempo: Realizar una campaña interna de concientización urgente sobre la técnica ClickFix. Mostrar capturas de pantalla de las páginas “Just a moment…” y reiterar que NUNCA deben pegar comandos ni ejecutar instrucciones de verificación de páginas web desconocidas.
Prioridad Alta
- Endurecimiento de PowerShell: Aplicar políticas de restricción de lenguaje (ConstrainedLanguage Mode) y habilitar la Interfaz de Análisis Antimalware (AMSI) en PowerShell para bloquear la ofuscación de comandos.
- Controles Web: Utilizar Web Application Firewalls (WAF) o soluciones de filtrado URL/DNS para bloquear dominios sospechosos.
Estratégico
- Revisión de Privilegios: Asegurar que las cuentas de usuario estándar no tengan permisos para instalar software o realizar cambios críticos en el sistema, lo que limitaría el daño si un comando ClickFix es ejecutado.
- Simulacros de Phishing: Incluir el escenario ClickFix en los simulacros internos de phishing para medir y mejorar la reacción del personal.
