Nueva campaña "ClickFix" utiliza sitios web comprometidos para desplegar el troyano MIMICRAT

Investigadores de seguridad alertan sobre una sofisticada operación de ingeniería social que suplanta verificaciones de Cloudflare para infectar sistemas Windows y tomar control total de los equipos.

En un reciente informe publicado por Elastic Security Labs, especialistas en ciberseguridad han revelado los detalles de una avanzada campaña de malware denominada "ClickFix". Esta operación aprovecha sitios web legítimos previamente vulnerados para distribuir un troyano de acceso remoto (RAT) hasta ahora no documentado, bautizado como MIMICRAT (también conocido como AstarionRAT).

El engaño: Una falsa verificación de seguridad

La táctica, que destaca por su simplicidad y eficacia, comienza cuando un usuario visita un sitio web legítimo que ha sido inyectado con código malicioso. En lugar del contenido esperado, la víctima visualiza una página de verificación falsa que imita la estética de Cloudflare.

El sitio indica al usuario que existe un problema de conexión y le instruye a copiar y pegar un comando específico en el cuadro de diálogo "Ejecutar" de Windows (Win + R) para "solucionar" el error. Al hacerlo, el usuario ejecuta involuntariamente un comando de PowerShell que inicia la cadena de infección.

Sofisticación técnica y evasión

Lo que diferencia a esta campaña es su capacidad para evadir las defensas tradicionales. Según el reporte, el ataque utiliza una cadena de PowerShell de varias etapas que realiza las siguientes acciones:

1. Bypass de seguridad: Desactiva el Seguimiento de Eventos para Windows (ETW) y la Interfaz de Escaneo Antimalware (AMSI) para operar sin ser detectado por los antivirus.

2. Carga en memoria: Utiliza un cargador basado en el lenguaje de programación Lua para ejecutar el código malicioso directamente en la memoria del sistema, evitando dejar rastro en el disco duro.

3. Comunicación encubierta: El implante final, MIMICRAT, se comunica con su servidor de control (C2) mediante tráfico HTTPS que imita de forma casi idéntica las consultas de analítica web legítimas.

MIMICRAT: Un troyano con control total

El malware MIMICRAT es una herramienta de espionaje escrita en C++ diseñada para el post-explotación. Entre sus capacidades se encuentran:

• Túneles SOCKS5: Para desviar el tráfico de red del sistema infectado.

• Suplantación de tokens: Permite al atacante elevar privilegios y actuar como otros usuarios en el sistema.

• Control de archivos y procesos: Acceso completo para ejecutar comandos, inyectar código y exfiltrar datos.

Alcance global y objetivos

La campaña ha demostrado ser altamente adaptable, ofreciendo señuelos en 17 idiomas diferentes que se ajustan automáticamente según la configuración del navegador de la víctima. Entre los afectados identificados se encuentran desde usuarios particulares hasta instituciones académicas en Estados Unidos y comunidades de habla china.

Expertos sugieren que, dada la naturaleza de las herramientas desplegadas, el objetivo final de los atacantes podría ser la exfiltración masiva de datos sensibles o el despliegue de ransomware dentro de redes corporativas.

Recomendación de seguridad: Se insta a los usuarios a desconfiar de cualquier sitio web que solicite ejecutar comandos o scripts en la consola de comandos del sistema operativo, incluso si el sitio parece legítimo. Las empresas de seguridad recomiendan reforzar el monitoreo de procesos de PowerShell y educar al personal sobre estas nuevas variantes de ingeniería social.