Una técnica de falsa verificación de seguridad ya es el método de acceso inicial más usado en ciberataques
ClickFix, una técnica que engaña a la víctima haciéndole creer que completa una verificación de seguridad rutinaria, se convirtió en el método de acceso inicial más común en los ciberataques documentados durante el último año, según Microsoft. La víctima copia y pega, sin saberlo, un comando que instala el programa malicioso real. Los antivirus tradicionales no la detectan porque no se descarga ningún archivo sospechoso en el primer paso.
Qué ocurrió
ClickFix es una técnica de engaño que se disfraza de verificación de seguridad rutinaria, del tipo “confirma que no eres un robot”. La página falsa muestra instrucciones que llevan a la víctima a copiar un comando y pegarlo directamente en su propio equipo, usando herramientas que ya vienen instaladas en el sistema operativo (Windows PowerShell, por ejemplo). Ese comando descarga e instala el programa malicioso real. Como no se descarga ningún archivo sospechoso en el primer paso y se usan herramientas legítimas del sistema, los antivirus tradicionales no lo detectan. Se convirtió en el método de acceso inicial más común en los ataques documentados durante el último año, y ya se ofrece como servicio de renta a otros atacantes, lo que ha multiplicado su uso.
Quién está expuesto
Para personas
Cualquier persona que navegue por sitios comprometidos o reciba enlaces que simulan una verificación de seguridad.
Para organizaciones
Empresas cuyos empleados no reciben capacitación sobre esta técnica específica, y cuyo software de seguridad depende solo de la detección tradicional por firmas conocidas.
A considerar
Detectar este tipo de ataque requiere herramientas capaces de identificar comportamiento sospechoso, como un usuario copiando y ejecutando comandos, no solo antivirus tradicional. Vale la pena confirmar con el proveedor de seguridad si esa capacidad está activa.
Impacto potencial
Una vez que la víctima ejecuta el comando, el atacante obtiene un punto de entrada al equipo que suele usarse para instalar programas maliciosos adicionales, robar información o moverse hacia otros sistemas de la red.
Leer fuente original →