En el panorama de amenazas, los ciberdelincuentes suelen compartir, copiar, robar, adoptar y probar tácticas, técnicas y procedimientos a partir de su exposición pública o de la interacción con otros grupos de ataque. En concreto, los atacantes patrocinados por estados normalmente se hacen con técnicas desarrolladas y desplegadas antes por otros ciberdelincuentes, como técnicas para robar criptomonedas o cadenas de infección para distribuir malware. Según las investigaciones de la empresa de ciberseguridad y cumplimiento normativo Proofpoint , el ejemplo más reciente de esta tendencia es ClickFix, una técnica de ingeniería social que utiliza cuadros de diálogo con instrucciones para copiar, pegar y ejecutar comandos maliciosos en la máquina del objetivo.

Observada por primera vez a principios de marzo de 2024, desplegada por el bróker de acceso inicial TA571 y el clúster ClearFake, esta técnica ha inundado la actividad ciberdelictiva en el último año con variaciones por parte de grupos procedentes de Corea del Norte, Irán y Rusia. En la mayoría de los casos, volvieron a sus campañas habituales después de ClickFix. «No está claro por qué cada grupo de ciberdelincuencia sólo fue observado con una campaña u oleada de ClickFix mientras que otras campañas típicas continúan en paralelo. En un principio, planteamos la hipótesis de que esto podría deberse a que la técnica se encontraba en sus inicios mientras la probaban los ciberdelincuentes, o quizás no tuvo tanto éxito como otras para comprometer máquinas» , explican los investigadores de amenazas de Proofpoint.

En Corea del Norte, el grupo TA427 se dirigió en enero y febrero de este año a individuos de organizaciones think tanks con una nueva cadena de infección que utilizaba la técnica ClickFix. A través de una solicitud de reunión de un remitente falsificado, TA427 inició una breve conversación para atraer al objetivo y generar confianza para dirigirle después a un sitio controlado por el atacante donde lo convencieron para que ejecutara un comando PowerShell. Otra instancia de esta campaña incluyó una cadena de varias etapas que ejecutaba PowerShell, VBS y secuencias de comandos por lotes, que finalmente conducían a QuasarRAT, un malware básico también visto en la actividad ciberdelictiva. Asimismo, TA427 se hacía pasar por otras personas enviando archivos adjuntos benignos en sus correos electrónicos, que incluían un enlace a una página de destino con el subdominio de un dominio DNS dinámico que se presentaba como una unidad segura en japonés, coreano o inglés para alinearse con los remitentes falsos.

Desde Irán, TA450 utilizó una dirección de correo electrónico controlada por sí mismo para enviar un mensaje de phishing en inglés a objetivos de al menos 39 organizaciones de Oriente Medio, con énfasis en los Emiratos Árabes Unidos y Arabia Saudita, así como en los sectores financiero y gubernamental. Este correo electrónico se hacía pasar por una actualización de seguridad de Microsoft con la idea de convencer a los usuarios de que ejecutarán una serie de pasos para solucionar una vulnerabilidad. Así desplegó la técnica ClickFix, persuadiendo al objetivo para que ejecutara primero PowerShell con privilegios de administrador y, a continuación, copiara y ejecutara un comando desde el cuerpo del correo que instalaría un software de gestión y monitorización remota para realizar espionaje y exfiltrar datos de la máquina del objetivo.

Por otro lado, un grupo sospechoso de origen ruso, rastreado como UNK_RemoteRogue, también fue observado usando ClickFix a finales de 2024 para enviar mensajes a individuos de organizaciones asociadas con un importante fabricante de armas para defensa. Los mensajes no contenían aviones y abusaban de varios servidores Zimbra, probablemente comprometidos, como infraestructura de envío intermedia, los cuales completaban los campos “De”. En los correos había un enlace malicioso que suplantaba a Microsoft Office. Si el objetivo visitaba el enlace, se mostraba un archivo HTML que suplantaba un documento de Word con instrucciones en ruso para copiar código del navegador y pegarlo en la terminal. La página incluía también un enlace a un tutorial de YouTube sobre cómo ejecutar PowerShell. Posteriormente, el grupo volvió a sus campañas tradicionales, que muestran muchas de las mismas características, incluyendo el uso de servidores de correo intermedios comprometidos, el mismo servidor de envío ascendente y una orientación de objetivos muy similares.

«Aunque no es una técnica de uso persistente, la creciente popularidad de ClickFix en la ciberdelincuencia durante el último año, así como en las campañas de espionaje de los últimos meses, sugiere que es probable que la técnica sea alguna probada o adoptada ampliamente por más ciberdelincuentes. Dada la trayectoria de la técnica en todo el mundo, hay una llamativa ausencia en el uso de ClickFix por un grupo patrocinado por China. Sin embargo, esto puede deberse a la visibilidad, y que haya una alta probabilidad de que el ciberespionaje chino también haya experimentado con ClickFix, dada su aparición en campañas de muchos atacantes en un corto período de tiempo” , analizan desde Proofpoint.