(https://external-content.duckduckgo.com/iu/?u=https%3A%2F%2Fwallpaperaccess.com%2Ffull%2F4631956.jpg&f=1&nofb=1&ipt=b65d829dc58dcf8256bad5a1b03d848ade546e8caeb456983beb99e475e06a54)
Los actores de amenazas ahora están abusando de las consultas DNS como parte de los ataques de ingeniería social de ClickFix para distribuir malware, lo que lo convierte en el primer uso conocido del DNS como canal en estas campañas.
Los ataques de ClickFix suelen engañar a los usuarios para que ejecuten manualmente comandos maliciosos con el pretexto de corregir errores, instalar actualizaciones o habilitar funciones.
Sin embargo, esta nueva variante utiliza una técnica novedosa en la que un servidor DNS controlado por el atacante distribuye la carga útil de segunda etapa mediante búsquedas DNS.
Las consultas DNS envían un script malicioso de PowerShell.
En una nueva campaña de ClickFix detectada por Microsoft, se indica a las víctimas que ejecuten el comando nslookup, que consulta un servidor DNS controlado por el atacante en lugar del servidor DNS predeterminado del sistema.
El comando devuelve una consulta con un script malicioso de PowerShell que se ejecuta en el dispositivo para instalar malware.
«Investigadores de Microsoft Defender observaron que los atacantes utilizaban otro enfoque de evasión para la técnica de ClickFix: solicitar a los objetivos que ejecuten un comando que realiza una búsqueda DNS personalizada y analiza la respuesta Name: para recibir la carga útil de la siguiente etapa para su ejecución», se lee en una publicación de Microsoft Threat Intelligence.
(https://i.postimg.cc/zX6ff2qF/Microsoft-Defender-researchers.png) (https://postimages.org/)
Aunque no está claro cuál es el señuelo para engañar a los usuarios y que ejecuten el comando, Microsoft afirma que el ataque ClickFix indica a los usuarios que lo ejecuten en el cuadro de diálogo Ejecutar de Windows.
Este comando realizará una búsqueda DNS para el nombre de host "example.com" en el servidor DNS del actor de amenazas en 84[.]21.189[.]20 y luego ejecutará la respuesta resultante mediante el intérprete de comandos de Windows (cmd.exe).
Esta respuesta DNS devuelve un campo "NAME:" que contiene la segunda carga útil de PowerShell que se ejecuta en el dispositivo.
Respuesta de consulta DNS que contiene el segundo comando de PowerShell a ejecutar
(https://www.bleepstatic.com/images/news/security/c/clickfix/dns-query/microsoft-dns-query.jpg)
Aunque este servidor ya no está disponible, Microsoft afirma que el comando PowerShell de segunda etapa descargó malware adicional de la infraestructura controlada por el atacante.
Este ataque descarga un archivo ZIP que contiene un ejecutable de Python y scripts maliciosos que realizan tareas de reconocimiento en el dispositivo y el dominio infectados.
El ataque establece persistencia creando %APPDATA%\WPy64-31401\python\script.vbs y un acceso directo %STARTUP%\MonitoringService.lnk para ejecutar el archivo VBScript al inicio.
La carga útil final es un troyano de acceso remoto conocido como ModeloRAT, que permite a los atacantes controlar los sistemas comprometidos de forma remota.
A diferencia de los ataques ClickFix habituales, que suelen obtener las cargas útiles mediante HTTP, esta técnica utiliza DNS como canal de comunicación y almacenamiento.
Al usar respuestas DNS para enviar scripts maliciosos de PowerShell, los atacantes pueden modificar las cargas útiles sobre la marcha, integrándose con el tráfico DNS normal.
Los ataques ClickFix evolucionan rápidamente
Los ataques ClickFix han evolucionado rápidamente durante el último año, con actores de amenazas experimentando con nuevas tácticas de entrega y tipos de carga útil dirigidos a una amplia variedad de sistemas operativos.
Las campañas ClickFix reportadas anteriormente se basaban en convencer a los usuarios para que ejecutaran comandos de PowerShell o shell directamente en sus sistemas operativos para instalar malware.
En campañas más recientes, los atacantes han ampliado sus técnicas más allá de la entrega tradicional de carga útil de malware a través de la web.
Por ejemplo, un ataque reciente a ClickFix llamado "ConsentFix" abusa de la aplicación OAuth de la CLI de Azure para secuestrar cuentas de Microsoft sin contraseña y eludir la autenticación multifactor (MFA).
Con la creciente popularidad de los LLM de IA para el uso diario, los actores de amenazas han comenzado a usar páginas compartidas de ChatGPT y Grok, así como páginas de Claude Artifact, para promocionar guías falsas para ataques ClickFix.
También se informó sobre un novedoso ataque ClickFix, promovido a través de comentarios en Pastebin, que engañaba a los usuarios de criptomonedas para que ejecutaran JavaScript malicioso directamente en su navegador mientras visitaban una plataforma de intercambio de criptomonedas y así secuestrar transacciones.
Esta es una de las primeras campañas ClickFix diseñadas para ejecutar JavaScript en el navegador y secuestrar la funcionalidad de las aplicaciones web en lugar de implementar malware.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/new-clickfix-attack-abuses-nslookup-to-retrieve-powershell-payload-via-dns/