¿Qué es Clickfix? Aprende sobre esta nueva técnica maliciosa para robar tus datos

En tres campañas recientes, investigadores de Sophos X-Ops observaron cambios tanto en señuelos como en las capacidades del malware, ya que los actores de amenazas que utilizan técnicas ClickFix apuntan cada vez más a usuarios de macOS con infostealers.

El uso de “ingeniería social” para robar información es muy común, y se reinventa con mucha frecuencia. Una de las técnicas más recientes utilizadas por ciberdelincuentes es la llamada “Clickfix.

A diferencia de los ataques tradicionales basados en exploits, este método depende completamente de la interacción del usuario, generalmente en forma de copiar y ejecutar comandos, lo que lo hace particularmente efectivo contra personas que quizá no comprenden las implicancias de ejecutar comandos desconocidos.

Si bien las campañas ClickFix han apuntado tradicionalmente a usuarios de Windows, a mediados del año pasado, se reveló una campaña que utilizaba señuelos específicos para macOS basados en cadenas User Agent.

Confirmando lo que luego sería tendencia, en los últimos tres meses los investigadores de Sophos X-Ops observaron tres campañas Clickfix dirigidas a usuarios de macOS con el infostealer MacSync. Aunque se desconoce si fueron o no operadas por el mismo actor de amenazas, la indagación notó algo interesante: una clara evolución y cambio en los enfoques y tácticas, posiblemente en respuesta a esfuerzos de investigación y disrupción, pero también, quizá, reflejando tendencias sociales y tecnológicas más amplias.

Un nuevo “modus operandi”

Al analizar las distintas campañas, hubo un cambio relevador en una de ellas: en lugar de redirigir a los usuarios a un sitio de descarga que imitaba una marca conocida, esta vez las víctimas eran dirigidas a conversaciones compartidas en el sitio legítimo de ChatGPT, presumiblemente para convencerlos de que los enlaces eran seguros. Esto es, posiblemente, una variante actualizada de otra técnica común de malvertising utilizada por algunos actores de amenazas: foros falsos, en los que hilos de discusión simulados contienen enlaces maliciosos.

Las conversaciones de ChatGPT parecían ser guías útiles del tipo “cómo limpiar tu Mac” o instalación de herramientas, pero redirigían a las víctimas a páginas de destino maliciosas con temática de GitHub, que a su vez utilizaban interfaces falsas de instalación para engañar a los usuarios y hacer que ejecutaran comandos maliciosos en la Terminal (la parte ClickFix de la cadena de ataque). Esto puede permitir evadir controles de seguridad de macOS como Gatekeeper y XProtect.

A lo largo de los años, un usuario promedio probablemente ha escuchado muchas advertencias sobre los riesgos de los sitios web maliciosos. Sin embargo, las conversaciones con ChatGPT son una plataforma relativamente nueva y que una persona promedio podría no asociar con un posible peligro.

Para los investigadores de Sophos X-Ops, es de esperar que esta parte del panorama de amenazas siga evolucionando rápidamente. No obstante, como siempre, Sophos evolucionará con él, y continuará monitoreando nuevas variantes, actualizando la información de protección y detección según corresponda y publicando investigaciones en la medida que haya nuevos datos disponibles.