ClickFix Attack reemplaza PowerShell con Cmdkey y entrega remota de payload Regsvr32

Se ha detectado una versión nueva y más capaz del ataque ClickFix, y funciona un poco diferente de lo que los equipos de seguridad han visto antes. En lugar de depender de PowerShell, los atacantes ahora están encadenando herramientas nativas de Windows, específicamente cmdkey y regsvr32, para entregar silenciosamente una payload remota sin colocar un solo archivo en el disco.

En campañas anteriores, los atacantes utilizaron páginas CAPTCHA falsas para convencer a las víctimas de que pegaran y ejecutaran comandos a través del cuadro de diálogo Ejecutar de Windows, que normalmente invocaría PowerShell para buscar y ejecutar una carga útil. Esta última versión se aleja por completo de PowerShell, lo que dificulta que las herramientas de detección tradicionales detecten la actividad. Los investigadores de CyberProof observaron que la campaña utiliza una cadena de comandos compacta que almacena credenciales, recupera una DLL remota y la ejecuta silenciosamente a través de componentes confiables de Windows. Al permanecer dentro de utilidades legítimas de Windows, los atacantes combinan su actividad con el comportamiento normal del sistema, lo que dificulta significativamente la detección.

Establecimiento de persistencia y ejecución de la payload de la segunda etapa (Fuente: CyberProof) Una vez que regsvr32 ejecuta la DLL, su exportación a DllRegisterServer activa una llamada CreateProcessA oculta que crea una tarea programada llamada "RunNotepadNow" usando el Programador de tareas de Windows. indicadores de compromiso (IoC) (IoC) (IOC): – 151[.]245.195.142 \151[.]245.195.142hidemo.dll \151[.]245.195.142hi777.xml SHA256: b2d9a99de44a7cd8faf396d0482268369d14a315edaf18a36fa273ffd5500108 La publicación ClickFix Attack reemplaza PowerShell con Cmdkey y entrega remota de payload Regsvr32 apareció por primera vez en Cyber Security News.

Consultar publicación original ↗