ingeniería social
Hace poco hablamos sobre la técnica ClickFix. Ahora, los atacantes han comenzado a implementar un nuevo giro que los investigadores denominaron “FileFix”. El principio central sigue siendo el mismo: usar tácticas de ingeniería social con el fin de engañar a la víctima para que ejecute involuntariamente código malicioso en su propio dispositivo. En esencia, la diferencia entre ClickFix y FileFix radica esencialmente en dónde se ejecuta el comando.
Con ClickFix, los atacantes convencen a la víctima de que abra el cuadro de diálogo Ejecutar de Windows y pegue un comando malicioso allí. Sin embargo, con FileFix, manipulan a la víctima para que pegue un comando en la barra de direcciones del Explorador de archivos de Windows. Desde la perspectiva del usuario, esta acción no parece inusual: la ventana del Explorador de archivos es un elemento familiar, por lo que es menos probable que su uso se perciba como peligroso. Por lo tanto, los usuarios que no están familiarizados con esta táctica en particular son bastante más propensos a caer en la trampa de FileFix.
Cómo los atacantes manipulan a la víctima para que ejecute su código
De manera similar a ClickFix, un ataque de FileFix comienza cuando se dirige a un usuario (en general, a través de un correo electrónico de phishing), a una página que imita el sitio web de un servicio en línea legítimo. El sitio falso muestra un mensaje de error que impide el acceso a la funcionalidad normal del servicio. Para solucionarlo, se le indica al usuario que debe realizar una serie de pasos para un proceso de “verificación del entorno” o “diagnóstico”.
Para hacer esto, se le dice al usuario que debe ejecutar un archivo específico que, según los atacantes, ya está en el ordenador de la víctima o se acaba de descargar. Todo lo que el usuario debe hacer es copiar la ruta al archivo local y pegarla en la barra de direcciones del Explorador de archivos de Windows. De hecho, el campo desde el que se indica al usuario que copie la cadena muestra la ruta al archivo, razón por la cual el ataque se denomina “FileFix”. Luego, se indica al usuario que abra el Explorador de archivos, pulse [CTRL] + [L] para centrarse en la barra de direcciones, pegue la “ruta del archivo” con [CTRL] + [V] y pulse [INTRO].
Aquí está la trampa: la ruta del archivo visible solo muestra las últimas docenas de caracteres de un comando que es mucho más largo. Antes de la ruta del archivo hay una cadena de espacios, y antes de eso está la verdadera carga maliciosa que los atacantes pretenden ejecutar. Los espacios son fundamentales para garantizar que el usuario no vea nada sospechoso después de pegar el comando. Como la cadena completa es bastante más larga que el área visible de la barra de direcciones, solo queda a la vista la ruta del archivo benigna. El contenido real solo se revela si la información se pega en un archivo de texto en lugar de en la ventana del Explorador de archivos. Por ejemplo, en un artículo de Bleeping Computer basado en una investigación de Expel, se descubrió que el comando real iniciaba un script de PowerShell a través de conhost.exe.
El usuario cree que está pegando una ruta de archivo, pero el comando en realidad contiene un script de PowerShell. Fuente
Qué sucede después de que se ejecuta el script malicioso
Un script de PowerShell ejecutado por un usuario legítimo puede causar problemas de muchas maneras. Todo depende de las políticas de seguridad corporativas, los privilegios específicos del usuario y la presencia de soluciones de seguridad en el ordenador de la víctima. En el caso que hemos mencionado, el ataque utilizó una técnica denominada “cache smuggling”. El mismo sitio web falso que implementó la trampa de FileFix guardó un archivo en formato JPEG en la caché del navegador, pero el archivo comprimido en realidad contenía un archivo con malware. Luego, el script malicioso extrajo este malware y lo ejecutó en el ordenador de la víctima. Este método permite que la carga maliciosa final se envíe al ordenador sin descargas de archivos evidentes o solicitudes de red sospechosas, lo que lo hace particularmente sigiloso.
Cómo defender a tu empresa contra los ataques ClickFix y FileFix
En nuestra publicación sobre la técnica de ataque ClickFix, sugerimos que la defensa más simple era bloquear la combinación de teclas [Win] + [R] en los dispositivos de trabajo. Es muy raro que un empleado típico de oficina realmente necesite abrir el cuadro de diálogo Ejecutar. En el caso de FileFix, la situación es un poco más compleja: copiar un comando en la barra de direcciones es un comportamiento perfectamente normal del usuario.
Bloquear el acceso directo [CTRL] + [L] no suele ser lo ideal por dos razones. En primer lugar, esta combinación se utiliza con frecuencia en varias aplicaciones para diversos fines legítimos. En segundo lugar, no sería de mucha ayuda, ya que los usuarios aún pueden acceder a la barra de direcciones del Explorador de archivos haciendo clic en ella con el ratón. Los atacantes suelen proporcionar instrucciones detalladas a los usuarios si el atajo del teclado falla.
Por lo tanto, para una defensa verdaderamente eficaz contra ClickFix, FileFix y estrategias similares, recomendamos, ante todo, implementar una solución de seguridad fiable en todos los dispositivos de trabajo de los empleados que pueda detectar y bloquear la ejecución de código peligroso a tiempo.
En segundo lugar, recomendamos concienciar periódicamente a los empleados sobre las ciberamenazas modernas, en particular los métodos de ingeniería social empleados en los escenarios de ClickFix y FileFix. Kaspersky Automated Security Awareness Platform puede ayudar a automatizar la formación de los empleados.
Consejos