Se ha observado que los actores de amenaza aprovechan la táctica engañosa de ingeniería social conocida como ClickFix para desplegar un versátil con el nombre de Cornflake Cornflake. V3. Mandiant, propiedad de Google, describió la actividad, que rastrea como UNC5518, como parte de un esquema de acceso como servicio que emplea páginas Captcha falsas como señuelos para engañar a los usuarios para que proporcionen acceso inicial a sus sistemas, que luego está monetizado por otros grupos de amenazas. «El vector de infección inicial, denominado ClickFix, implica atraer a los usuarios a los sitios web comprometidos para copiar un script de PowerShell malicioso y ejecutarlo a través del cuadro de diálogo Windows Run», dijo Google en un informe publicado hoy. Se evalúa que el acceso proporcionado por UNC5518 está aprovechado por al menos dos grupos de piratería diferentes, UNC5774 y UNC4108, para iniciar un proceso de infección en varias etapas y eliminar cargas útiles adicionales: UNC5774, otro grupo motivado financieramente que ofrece maíz como una forma de implementar varias cargas posteriores a la UNC4108, un acto de amenaza con la motivación desconocida que usa el powershell a la delgada de los powershell a la desglose. NetSupport Rat La cadena de ataque probablemente comience con la víctima que aterriza una página de verificación Captcha falsa después de interactuar con los resultados de búsqueda que emplean envenenamiento de optimización de motores de búsqueda (SEO) o anuncios maliciosos. Luego se engaña al usuario para ejecutar un comando Malicioso PowerShell al iniciar el cuadro de diálogo Run Windows, que luego ejecuta la carga útil de la próxima etapa desde un servidor remoto. El script recientemente descargado verifica si se ejecuta dentro de un entorno virtualizado y finalmente lanza Cornflake.v3. Observado tanto en las versiones de JavaScript como en PHP, Cornflake.v3 es una puerta trasera que admite la ejecución de cargas útiles a través de HTTP, incluidos ejecutables, bibliotecas de enlace dinámico (DLL), archivos JavaScript, scripts de lotes y comandos de PowerShell. También puede recopilar información básica del sistema y transmitirla a un servidor externo. El tráfico se representa a través de los túneles de Cloudflare en un intento por evitar la detección. «Cornflake.v3 es una versión actualizada de Cornflake.v2, que comparte una parte significativa de su base de código», dijo el investigador Mandiant Marco Galli. «A diferencia de V2, que funcionó únicamente como un descargador, V3 presenta persistencia del host a través de una clave de ejecución de registro y admite tipos de carga útil adicional». Ambas generaciones son notablemente diferentes de su progenitor, un descargador basado en C que utiliza sockets TCP para comunicaciones de comando y control (C2) y solo tiene la capacidad de ejecutar cargas de DLL. La persistencia en el host se logra mediante cambios en el registro de Windows. Al menos tres cargas útiles diferentes se entregan a través de Cornflake.v3. Esto comprende una utilidad de reconocimiento de Active Directory, un script para cosechar credenciales a través de Kerberoasting, y otra puerta trasera conocida como WindyTwist.SEA, una versión C de Windytwist que admite transmitir el tráfico TCP, proporcionando un shell inverso, comandos de ejecución y retirarse. También se han observado versiones seleccionadas de WindyTwist.SEA que intentan moverse lateralmente en la red de la máquina infectada. «Para mitigar la ejecución de malware a través de ClickFix, las organizaciones deben deshabilitar el cuadro de diálogo Windows Ejecutar siempre que sea posible», dijo Galli. «Los ejercicios de simulación regulares son cruciales para contrarrestar esta y otras tácticas de ingeniería social. Además, los sistemas robustos de registro y monitoreo son esenciales para detectar la ejecución de las cargas útiles posteriores, como las asociadas con Cornflake.v3». El auge de los kits de clicfix El uso de ClickFix se ha disparado en popularidad entre los actores de amenazas durante el año pasado, ya que engaña a los usuarios para infectados en sus máquinas con el pretexto de ayudar a resolver los problemas técnicos menores, completar las verificaciones de verificación Captcha al pasar por el torniquín de Cloudflare, o despreciar un servidor discordia que se supone que necesita verificar un usuario antes de unirse. Esto, a su vez, implica dar instrucciones a los usuarios que implican hacer clic en las indicaciones y copiar, pegar y ejecutar comandos directamente en el cuadro de diálogo Ejecutar Windows, Terminal de Windows, Windows PowerShell o MacOS Terminal, dependiendo del sistema operativo utilizado. «Debido a que ClickFix se basa en la intervención humana para lanzar los comandos maliciosos, una campaña que utiliza esta técnica podría superar las soluciones de seguridad convencionales y automatizadas», dijo Microsoft en un artículo detallado. «A menudo se combina con vectores de entrega como phishing, malvertimiento y compromisos de conducción, la mayoría de los cuales incluso se hacen pasar por marcas y organizaciones legítimas para reducir aún más las sospechas de sus objetivos». La estratagema de ingeniería social ha sido adoptada por numerosos actores de amenazas para entregar información a los robadores de información (robador de lumma), troyanos de acceso remoto (Xworm, Asyncrat, NetSupport Rat y Sectoprat), cargadores de malware (Latrodectus y Mintsloader), Rootkits (R77) y banking (Lampion). Microsoft dijo que también ha observado varios actores de amenazas que venden a los constructores de ClickFix configurables (también llamados «Win + R») en los foros populares del delito cibernético desde finales de 2024 desde cualquier lugar de $ 200 a $ 1,500 por mes. Otras ofertas incluyen soluciones de una sola vez y en pieza, por ejemplo, el código fuente, la página de destino o la línea de comandos utilizada para iniciar la infección, a los precios entre $ 200 y $ 500. «Algunos de estos actores están agrupando a los constructores de ClickFix en sus kits existentes que ya generan varios archivos como LNK, JavaScript y SVG Files», dijo el fabricante de Windows. «Los kits ofrecen creación de páginas de destino con una variedad de señuelos disponibles, incluida Cloudflare». «También ofrecen la construcción de comandos maliciosos que los usuarios pegarán en el diálogo de Windows Run. Estos kits afirman garantizar la derivación antivirus y protección web (algunos incluso prometen que pueden pasar por alto la pantalla inteligente de Microsoft Defender), así como la persistencia de carga útil». Para contrarrestar los ataques de estilo ClickFix, se aconseja que los usuarios sean educados para identificar ataques de ingeniería social y tengan cuidado de lo que se está pegando en aplicaciones como Terminal o PowerShell. Se recomienda a las organizaciones que consideren utilizar navegadores administrados por la empresa, bloquear las páginas web de la ejecución automáticamente de complementos flash y activar las políticas de archivos adjuntos seguros para mensajes entrantes. Otros pasos incluyen: la infección por USB cae a Xmrig Miner, la divulgación se produce cuando la firma de inteligencia de amenazas detalló una campaña en curso que emplea unidades USB para infectar a otros anfitriones y desplegar mineros de criptomonedas desde septiembre de 2024 «. Esto demuestra la efectividad continua del acceso inicial a través de unidades USB infectadas», dijo Mandiant. «El bajo costo y la capacidad de evitar la seguridad de la red hacen que esta técnica sea una opción convincente para los atacantes». La cadena de ataque comienza cuando se engaña a una víctima para ejecutar un atajo de Windows (LNK) en la unidad USB comprometida. El archivo LNK da como resultado la ejecución de un script Visual Basic también ubicado en la misma carpeta. The script, for its part, launches a batch script to initiate the infection – DIRTYBULK, a C++ DLL launcher to initiate the execution of other malicious components, such as CUTFAIL CUTFAIL, a C++ malware dropper responsible for decrypting and installing malware onto a system, such as HIGHREPS and PUMPBENCH, as well as third-libraries like OpenSSL, libcurl, and WinPthreadGC HighReps, un descargador que recupera archivos adicionales para garantizar la persistencia del Banco de Banco de Bobado de la Boba, una puerta trasera de C ++ que facilita el reconocimiento, proporciona acceso remoto al comunicarse con un servidor de base de datos PostgreSQL, y descargar XMRIG XMRIG, un software de origen abierto para extraer míneas de mínimo como Montonero, como MoniMerero, «Bifming Spections,», por influencia, «,», «, un sendar», «,», «, un raver,». Dijo Mandiant. «Escanea el sistema de unidades disponibles y luego crea un archivo por lotes, un archivo VBScript, un archivo de acceso directo y un archivo DAT».
