Los Hackers Explotan las Estafas de ‘ClickFix’ para Diseminar Malware

Los hackers explotan “ClickFix” mediante la ingeniería social, engañando a los usuarios con falsos errores o CAPTCHA para ejecutar PowerShell, propagando malware a nivel mundial desde 2024.

Los ciberdelincuentes están empleando cada vez más una astuta táctica de ingeniería social llamada “ClickFix” para distribuir malware, apuntando al instinto de las personas de solucionar problemas por su cuenta.

La investigación de Proofpoint ha revelado el lunes el creciente uso de este método, que se ha observado en numerosas campañas desde marzo de 2024.

La técnica “ClickFix” se basa en falsos mensajes de error que se muestran a través de cuadros de diálogo emergentes. Estos mensajes parecen legítimos e instan a los usuarios a solucionar un supuesto problema por sí mismos, explica Proofpoint.

A menudo, las instrucciones indican a los usuarios que copien y peguen un script proporcionado en el terminal PowerShell de su computadora, una herramienta utilizada para ejecutar comandos en sistemas Windows. Sin que el usuario lo sepa, esta acción descarga y ejecuta software malicioso.

Proofpoint ha visto este enfoque utilizado en correos electrónicos de phishing, URLs maliciosas y sitios web comprometidos.

Los actores de amenazas disfrazan sus estafas como notificaciones de fuentes de confianza como Microsoft Word, Google Chrome e incluso servicios locales adaptados a industrias específicas, como la logística o el transporte.

Una variante particularmente astuta de ClickFix incorpora falsos desafíos CAPTCHA, donde se les pide a los usuarios que “demuestren que son humanos”, explica Proofpoint.

El truco CAPTCHA se combina con instrucciones para ejecutar comandos maliciosos que instalan malware como AsyncRAT, DarkGate o Lumma Stealer. Es notable que un kit de herramientas para esta táctica de CAPTCHA falso apareció en GitHub, facilitando su uso a los criminales.

Según Proofpoint, los hackers han dirigido sus ataques a una variedad de organizaciones a nivel mundial, incluyendo entidades gubernamentales en Ucrania. En un caso, se hicieron pasar por GitHub, utilizando falsas alertas de seguridad para dirigir a los usuarios a sitios web maliciosos.

Estas estafas han llevado a infecciones de malware en más de 300 organizaciones.

Lo que hace que ClickFix sea tan efectivo es su capacidad para eludir muchas medidas de seguridad. Dado que los usuarios ejecutan voluntariamente los comandos maliciosos, es menos probable que los filtros de correo electrónico tradicionales y las herramientas antivirus marquen la actividad, dice Proofpoint.

Proofpoint destaca que esta táctica es parte de una tendencia más amplia en el hacking: manipular el comportamiento humano en lugar de simplemente explotar las vulnerabilidades técnicas. Los hackers se basan en la disposición de los usuarios para resolver problemas de manera independiente, a menudo eludiendo a los equipos de TI en el proceso.

Para contrarrestar esta amenaza, las organizaciones deberían educar a los empleados acerca de las estafas de ClickFix, reforzando la importancia del escepticismo hacia las instrucciones no solicitadas para solucionar problemas.

Mantenerse alerta e informar sobre correos electrónicos o ventanas emergentes sospechosas puede ayudar a prevenir ser víctima de estos astutos ataques.