Una campaña de ClickFix incorpora la esteganografía y usa una pantalla falsa de Windows Update para distribuir malware
Una campaña reciente de ClickFix ha incorporado la esteganografía y usado como señuelo una pantalla falsa de Windows Update para distribuir 'malware' con el objetivo de robar información a sus víctimas.
ClickFix es un tipo de técnica de ingeniería social que convence a la víctima para que copie y pegue un código malicioso que ejecuta un 'malware' en su ordenador, diseñado normalmente para robar información.
Esta técnica se ha visto en campañas recientes, una de ellas con vídeos compartidos en TikTok que explican cómo acceder de forma gratuita a 'software' de pago y otra que simula una prueba de detección de 'bots' basada en Cloudflare.
La nueva campaña utiliza una pantalla falsa de la página de inicio azul de Windows Update, que reproduce con fidelidad, incluyendo las animaciones de 'Trabajando en actualizaciones', como señalan desde la firma de ciberseguridad Huntress en la publicación compartida en su blog.
Esta pantalla solicita a la víctima que abra el símbolo del sistema Ejecutar (Win+R), para pegar y ejecutar el comando malicioso que se copió de manera automática en el portapeles.
Lo destacado de esta campaña es que emplea la esteganografía, una técnica que oculta un código malicioso dentro de un archivo de distinto formato. En este caso, oculta las etapas finales del 'malware' dentro de una imagen.
"El código malicioso se codifica directamente en los datos de píxeles de las imágenes PNG, utilizando canales de color específicos para reconstruir y descifrar la carga útil en la memoria", explican.
La firma de ciberseguridad indica que la campaña de ClickFix se usa para distribuir los 'malware' de robo de información ('infostealer') LummaC2 y Rhadamanthys. La variante que usa este último se vio afectada por la operación policía el 13 de noviembre que desmanteló su infraestructura, lo que dejó de entregar la carga útil aunque los dominios que alojan la falsa página de Windows Update siguen activos.
