Programari maliciós ClickFix de Hir.harvard.edu

Investigadors de ciberseguretat han identificat una campanya en què els actors maliciosos suplanten el lloc web oficial de Harvard (hir.harvard.edu) per distribuir programari maliciós. Aprofitant l'accés a un domini altament fiable i reputat, els atacants allotgen contingut maliciós que imita de manera convincent pàgines legítimes. Aquesta tàctica augmenta significativament la probabilitat que visitants desprevinguts interactuïn amb el contingut, reduint la seva sospita natural envers possibles amenaces.

Exploits de ClickFix: Manipulació del comportament de l’usuari

L'atac es basa en una tècnica coneguda com a ClickFix , un mètode enganyós de distribució de programari maliciós arrelat en l'enginyeria social. En lloc d'explotar directament les vulnerabilitats del programari, aquest enfocament manipula els usuaris perquè executin ordres malicioses ells mateixos. Normalment, a les víctimes se'ls presenten alertes de sistema fabricades, passos de verificació CAPTCHA o instruccions urgents de "correcció" que semblen creïbles i necessàries.

En realitat, aquestes indicacions estan dissenyades acuradament per persuadir els usuaris perquè executin ordres que inicien silenciosament infeccions de programari maliciós als seus dispositius.

Procés d’infecció pas a pas

Al lloc web compromès, s'indica als visitants que completin el que sembla ser una verificació CAPTCHA. Les instruccions guien els usuaris a través d'una seqüència d'entrades de teclat dissenyades per obrir una interfície de línia d'ordres i executar codi maliciós ocult.

• Es demana als usuaris que premin Win + X, després seleccionin PowerShell o Terminal, seguit de Ctrl + V i finalment Enter.
• El lloc web ja ha copiat l'ordre maliciosa al porta-retalls, cosa que garanteix que s'enganxi sense que l'usuari en vegi el contingut.
• L'execució de l'ordre desencadena la descàrrega i l'execució de programari maliciós, cosa que compromet el sistema.

Aquest mètode trasllada la responsabilitat de l'execució a l'usuari, fent que les defenses de seguretat tradicionals siguin menys efectives.

Conseqüències dels atacs basats en ClickFix

Les campanyes de ClickFix s'utilitzen habitualment per desplegar una àmplia gamma de càrregues útils malicioses. Un cop executades, aquestes amenaces poden afectar greument tant individus com organitzacions permetent:

• Robatori de dades sensibles, com ara credencials d'inici de sessió i informació financera
• Accés remot no autoritzat i control de dispositius
• Xifratge de fitxers seguit de demandes de rescat

• Segrest de comptes i propagació d'atacs

Aquests resultats posen de manifest la versatilitat i el perill d'aquesta tècnica en les operacions de ciberdelinqüència modernes.

Canals de distribució de programari maliciós addicionals

A més de ClickFix, els ciberdelinqüents utilitzen molts altres mètodes per propagar programari maliciós i comprometre els sistemes. Els vectors de distribució comuns inclouen estafes fraudulentes d'assistència tècnica, correus electrònics de phishing que contenen fitxers adjunts o enllaços maliciosos, programari pirata i eines de cracking, anuncis enganyosos, llocs web no oficials i plataformes de descàrrega de tercers.

Consciència defensiva: reconèixer l’amenaça

Els atacs de ClickFix subratllen la importància de la consciència dels usuaris en ciberseguretat. Qualsevol instrucció que fomenti l'execució manual d'ordres, especialment a través d'eines del sistema com PowerShell o Terminal, s'ha de tractar com a altament sospitosa. Els llocs web i serveis legítims no requereixen que els usuaris realitzin aquestes accions amb finalitats de verificació o resolució de problemes.

Reconèixer aquestes tàctiques enganyoses i negar-se a seguir aquestes instruccions continua sent una defensa fonamental contra la infecció i el compromís de dades.