Nueva campaña de ClickFix detectada afectando equipos con Windows y Linux.
ClickFix está experimentando una nueva evolución.
Investigadores de Hunt.io han detectado un nuevo ataque conocido como ClickFix, que ahora también afecta a dispositivos Linux. Este tipo de ataque, que inicialmente se centraba en sistemas operativos Windows y se extendió a macOS, busca engañar a los usuarios para que ejecuten comandos de consola con el pretexto de solucionar un problema, facilitando así la descarga de malware.
El mecanismo del ataque es bastante sencillo. Un sitio web comprometido muestra un mensaje emergente que advierte al visitante sobre la necesidad de "actualizar" su navegador o completar una prueba CAPTCHA para verificar que no es un robot. Este proceso implica que el usuario copie un comando al portapapeles, abra el programa de ejecución y lo ejecute. A pesar de que puede parecer inverosímil, esta técnica ha tenido un grado de éxito, lo que ha llevado a varias empresas de ciberseguridad a alertar sobre la aparición de nuevas campañas de ClickFix.
Hunt.io ha vinculado esta serie de ataques con un actor de amenazas de Pakistán conocido como APT36 o Transparent Tribe. Este grupo utiliza una página falsa del Ministerio de Defensa de India que contiene un enlace a un comunicado de prensa fraudulento. Cuando la víctima intenta acceder a dicho comunicado, el sitio analiza su sistema operativo y la redirige al flujo de ataque apropiado.
En lo que respecta a Linux, los usuarios son llevados a una página de CAPTCHA que copia un comando de shell al hacer clic en el botón de verificación. Posteriormente, se les instruye para presionar ALT+F2, lo que abre el cuadro de diálogo de ejecución en Linux, donde deben pegar y ejecutar el comando correspondiente.
La buena noticia es que este ataque fue detectado en su fase experimental, lo que significa que aún no ha causado un daño significativo. Hasta ahora, el comando de shell solamente descarga un archivo JPEG inofensivo, aunque la situación podría complicarse en cualquier momento. Según los investigadores, no se han observado actividades adicionales como mecanismos de persistencia, movimiento lateral o comunicación saliente durante la ejecución del ataque.
