Especialistas en seguridad ponen en alerta a los usuarios de Windows debido a la expansión de una nueva amenaza que preocupa a la comunidad. El motivo de ello, como leemos en Bleeping Computer, es que adopta el aspecto de una actualización del sistema operativo.

Nuevo ataque ClickFix

El ataque ClickFix ha sido comentado en otras ocasiones, pero esta vez los hackers que lo usan han buscado una nueva manera de utilizarlo.

Una amenaza escondida

Lo que han descubierto los expertos es que el siguiente paso en los ataques ClickFix se está manifestando escondido en páginas web. Lo que hacen, más concretamente, es insertar una animación en distintas páginas y programarla para que cargue a pantalla completa en el navegador.

Pantalla-actualizacion-falsa-Windows-peligro-virus

Cuando eso ocurre, el usuario tiene la sensación de que se encuentra ante un mensaje del propio sistema operativo, el cual le estaría pidiendo que actualizase.

¿Dónde está el peligro?

Por supuesto, una simple imagen o animación no supondría un problema en sí mismo. El riesgo de este ClickFix reside en que el supuesto proceso de actualización pide a los usuarios que lleven a cabo ciertas acciones. Tal y como se puede ver en las imágenes difundidas por Bleeping Computer y Huntress, los hackers solicitan a las víctimas que sigan tres pasos.

Por ejemplo, se pide que los usuarios mantengan pulsada la tecla de Windows y que, a la vez, pulsen la tecla R. Las demás instrucciones siguen esa misma línea, suponiendo un gran riesgo para los usuarios que caigan víctimas de este engaño. Al introducir estas combinaciones de teclas, lo que hace el usuario es ejecutar el código que había dejado preparado el cibercriminal.

¿Cuáles son las consecuencias?

Caer víctimas en este ataque tiene consecuencias muy preocupantes, puesto que el hacker lo que hace es instalar dos programas de robo de datos:

  • Rhadamanthys
  • LummaC2

Es posible que sus nombres te suenen, dado que han sido protagonistas de algunos de los principales incidentes de seguridad que se han registrado a lo largo de los últimos años.

A partir de ese momento, el ordenador ya queda infectado por el malware y los hackers pueden acceder a la información que se encuentra en los mismos.

Verificacion-humana-sistema-virus-falso

Un ataque muy complejo

Tal y como explican los expertos de Huntress, esta maniobra que han desarrollado los cibercriminales es compleja. Utilizan lo que está considerado como esteganografía para ocultar el malware en la imagen. Por lo tanto, no se trata del uso de un archivo infectado como era clásico anteriormente.

En lugar de ello, atacan el origen de la imagen PNG y, dentro de sus píxeles, introducen el código que hará que las víctimas sufran la infección. Según se comenta, los hackers utilizan unos canales de colores concretos que les permiten transmitir la infección a través de un sistema de desencriptado.

No obstante, incluso siendo un ataque inteligente por la forma en la que se plantea, sigue encontrando obstáculos en el camino. Los hackers necesitan que, de manera obligatoria, la víctima utilice mshta en Windows para poder ejecutar los virus.

Además, entran en juego otros elementos que los hackers cargan en el proceso de infección, como código PowerShell y el sistema Stego Loader. Por la investigación que se ha realizado, el sistema sería mucho más profundo de lo imaginable y eso llevaría a incrementar el riesgo. De todas maneras, el punto de contacto con la víctima sigue siendo evitable.

Para que podamos entender mejor cómo funciona el ataque, desde Huntress han publicado un gráfico ilustrativo que nos permite apreciarlo de una manera visual.

Grafica-infeccion-malware-usando-actualizacion-Windows

¿Cómo evitar esta amenaza?

Ahora que ya sabemos cómo actúa este tipo de actualización falsa, solo hay que estar preparados para evitar el peligro. Para ello, primero de todo, hay que recordar que las actualizaciones de Windows ya no se muestran en pantalla de esta manera.

Hoy día, con Windows Update, cualquier tipo de actualización se aplica directamente mediante esta herramienta presente en el sistema operativo. Si nos encontramos con un aviso sospechoso como ese, lo más recomendable es cerrar la ventana del navegador y, si quieres, entrar en Windows Update. Así podrás confirmar que no hay ninguna actualización disponible.

Por otro lado, los expertos también recomiendan desconectar la caja de Ejecutar de Windows para evitar vernos en este tipo de situaciones de riesgo.

 

Fuente: Bleeping Computer | Huntress | adslzone