Una nueva campaña de phishing llamada ClickFix está engañando a las víctimas para que ejecuten comandos de PowerShell maliciosos, lo que permite que el marco de post-explotación Havoc se instale en los dispositivos comprometidos, brindando acceso remoto a los atacantes.
¿Cómo funciona ClickFix? ⚙️
Los atacantes crean sitios web o archivos adjuntos de phishing que muestran errores falsos. Al hacer clic en un botón para “corregir” el error, el usuario copia un comando PowerShell malicioso en el portapapeles de Windows.
Luego, se les indica pegar este comando en el símbolo del sistema, lo que ejecuta un script alojado en un servidor remoto que descarga e instala malware en el dispositivo.
Abuso de servicios en la nube de Microsoft ☁️
En esta campaña, los atacantes están enviando correos electrónicos de phishing que afirman que hay un “aviso restringido” para revisar.
Los usuarios deben abrir un archivo HTML adjunto para verlo. El archivo HTML muestra un error falso de “One Drive” y les indica que actualicen la caché DNS manualmente.
Instrucciones para ejecutar el comando malicioso
Al hacer clic en el botón “Cómo arreglar”, se copia automáticamente el comando PowerShell malicioso al portapapeles. Luego se muestran las instrucciones para ejecutarlo, lo que activa el script que verifica si el dispositivo está en un entorno de sandbox.
Si no está en un entorno seguro, el script procede a modificar el registro de Windows y descarga e instala el marco de control Havoc.
Uso del framework de post-explotación Havoc
Havoc es un marco de post-explotación de código abierto, similar a Cobalt Strike, que permite a los atacantes controlar dispositivos comprometidos de forma remota.
En esta campaña, se usa la API de Microsoft Graph para comunicarse con los servicios de los atacantes, incrustando tráfico malicioso en servicios legítimos de la nube de Microsoft, lo que ayuda a evadir la detección.
Evolución del ataque ClickFix
Los atacantes están adaptando la técnica de ClickFix para usarla en plataformas de redes sociales como Telegram, donde crean servicios de verificación de identidad falsos para engañar a los usuarios y hacer que ejecuten comandos PowerShell que instalan un Cobalt Strike beacon.