(https://i.postimg.cc/XNdTzzVB/Cat_Bitcoin.png) (https://postimages.org/)
Los actores de amenazas están abusando de los comentarios de Pastebin para distribuir un nuevo ataque similar a ClickFix que engaña a los usuarios de criptomonedas para que ejecuten JavaScript malicioso en su navegador. Esto permite a los atacantes secuestrar transacciones de intercambio de Bitcoin y redirigir fondos a billeteras controladas por el atacante.
La campaña se basa en ingeniería social y promete grandes ganancias mediante un supuesto exploit de arbitraje de Swapzone[.]io, pero en su lugar ejecuta código malicioso que modifica el proceso de intercambio directamente en el navegador de la víctima.
También podría ser el primer ataque conocido de ClickFix que utiliza JavaScript para alterar la funcionalidad de una página web con fines maliciosos.
Promovida a través de Pastebin
En la campaña, los cibercriminales están iterando a través de publicaciones de Pastebin y dejando comentarios que promueven un supuesto exploit de criptomonedas, con un enlace a una URL en rawtext[.]host.
La campaña es generalizada; muchas de nuestras publicaciones recibieron comentarios durante la última semana que afirman ser "documentación filtrada del exploit" que permite a los usuarios ganar $13,000 en 2 días.
Comentario de phishing en Pastebin
(https://www.bleepstatic.com/images/news/security/c/clickfix/pastebin-javascript/pastebin-comment.jpg)
El enlace del comentario redirige a una página de Google Docs titulada "Swapzone[.]io – Método de Ganancias de ChangeNOW", que afirma ser una guía que describe un método para aprovechar las oportunidades de arbitraje y obtener mayores pagos.
"ChangeNOW aún cuenta con un nodo backend antiguo conectado a la API de socios de Swapzone. En ChangeNOW directo, este nodo ya no se utiliza para intercambios públicos", dice la guía falsa.
"Sin embargo, al acceder a través de Swapzone, el cálculo de la tasa pasa por el Nodo v1.9 para ciertos pares de BTC. Este nodo antiguo aplica una fórmula de conversión diferente de BTC a CUALQUIERA, lo que resulta en pagos aproximadamente un 38 % más altos de lo previsto".
En cualquier momento, estos documentos suelen mostrar entre 1 y 5 usuarios activos, lo que sugiere que la estafa está circulando.
Personas que ven el documento de Google
(https://www.bleepstatic.com/images/news/security/c/clickfix/pastebin-javascript/users-browsing.jpg)
La guía falsa proporciona instrucciones para visitar Swapzone[.]io y cargar manualmente un nodo de Bitcoin ejecutando JavaScript directamente en la barra de direcciones del navegador.
Las instrucciones indican a las víctimas que visiten una URL en paste[.]sh y copien un fragmento de JavaScript alojado en la página.
Código JavaScript de la primera etapa utilizado en el ataque ClickFix
(https://www.bleepstatic.com/images/news/security/c/clickfix/pastebin-javascript/malicious-script.jpg)
La guía indica al lector que regrese a la pestaña SwapZone, haga clic en la barra de direcciones, escriba javascript: y pegue el código. Una vez pegado el código en la dirección, se le indica que presione Enter para ejecutarlo, como se explica a continuación.
Instrucciones para el ataque ClickFix en la guía de explotación de SwapZone
(https://www.bleepstatic.com/images/news/security/c/clickfix/pastebin-javascript/clickfix-instructions.jpg)
Esta técnica abusa de la función URI 'javascript:' del navegador, que permite a los usuarios ejecutar JavaScript desde la dirección del sitio web cargado en ese momento.
Al convencer a las víctimas de ejecutar este código en Swapzone[.]io, los atacantes pueden manipular la página y alterar el proceso de intercambio.
El análisis de BleepingComputer del script malicioso alojado en paste[.]sh muestra que carga una carga útil secundaria desde https://rawtext[.]host/raw?btulo3.
Este script altamente ofuscado se inyecta directamente en la página de Swapzone, anulando el script legítimo Next.js utilizado para gestionar los intercambios de Bitcoin y así secuestrar la interfaz de intercambio.
El script malicioso incluye direcciones de Bitcoin integradas, que se seleccionan aleatoriamente y se inyectan en el proceso de intercambio, reemplazando la dirección de depósito legítima generada por el exchange.
Como el código se ejecuta dentro de la sesión de Swapzone[.]io, las víctimas ven una interfaz legítima, pero terminan copiando y enviando fondos a monederos de Bitcoin controlados por el atacante.
Además de reemplazar la dirección de depósito, se informó a BleepingComputer que el script modifica los tipos de cambio mostrados y los valores de las ofertas, lo que da la impresión de que el supuesto exploit de arbitraje funciona.
Lamentablemente, como las transacciones de Bitcoin no se pueden revertir, si cayó en esta estafa, no hay una manera fácil de recuperar su dinero.
Una nueva variante de ClickFix
Esta campaña es una variante de los ataques ClickFix, una técnica de ingeniería social que engaña a los usuarios para que ejecuten comandos maliciosos en sus ordenadores, generalmente para instalar malware.
Normalmente, los ataques ClickFix se dirigen a los sistemas operativos indicando a las víctimas que ejecuten comandos de PowerShell o scripts de shell para corregir supuestos errores o habilitar alguna funcionalidad.
En este caso, en lugar de atacar el sistema operativo, los atacantes indican a las víctimas que ejecuten JavaScript directamente en su navegador mientras visitan un servicio de intercambio de criptomonedas.
Esto permite que el código malicioso modifique la página e intercepte los detalles de la transacción.
Este podría ser uno de los primeros ataques de estilo ClickFix reportados, diseñados específicamente para usar JavaScript en el navegador y robar criptomonedas.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/pastebin-comments-push-clickfix-javascript-attack-to-hijack-crypto-swaps/