2 min de lectura

Sandworm recurre a Clickfix en los ataques en Ucrania

El CERT de Ucrania dice que Sandworm de Rusia está ahora usando CAPTCHAs falsos de Clickfix para infectar dispositivos y desplegar malware, entre ellos FreakyPoll.

Imagen: Ars Technica

Sandworm, uno de los grupos de hackers más sofisticados del gobierno ruso, está ahora utilizando Clickfix para vulnerar dispositivos en organizaciones sensibles de Ucrania, según una nueva advertencia del CERT de Ucrania.

Clickfix se ha difundido en el último año principalmente entre ciberdelincuentes con motivación financiera. La técnica se basa en sitios web controlados por el atacante que muestran un CAPTCHA falso y piden a los visitantes que copien un bloque de texto en una terminal. Ese texto contiene en realidad scripts maliciosos que pueden instalar malware o robar datos sensibles.

El CERT de Ucrania dijo el miércoles que Sandworm —una unidad avanzada dentro del GRU, el servicio de inteligencia militar de Rusia— adoptó el método en una campaña que comenzó en la primavera y continuó durante el verano. La operación resultó en la compromisión de la red de al menos una organización, después de que se encontrara un dispositivo conectado infectado con FreakyPoll, una de las herramientas de malware personalizadas de Sandworm.

Recomendado

OkoBot distribuye 20 cargas útiles para el robo de criptomonedas

Las autoridades identificaron 10 sitios web comprometidos que mostraban un comando de PowerShell como parte de un CAPTCHA falso que afirmaba ser necesario para verificar a un usuario humano. Una vez introducido, el comando podía instalar scripts maliciosos en Visual Basic y otras cargas útiles que, a su vez, desplegaban múltiples familias de malware de Sandworm.

Típicamente, la primera etapa era una herramienta de reconocimiento que recopilaba detalles de la máquina infectada. Los sistemas considerados valiosos eran entonces atacados con malware posterior diseñado para abrir una puerta trasera en el dispositivo.

“El comando, por ejemplo, podría tener la finalidad de cargar y guardar un archivo VBS en el directorio de Inicio. Una de las variantes de dicho programa se llamó GHETTOVIBE. En la siguiente etapa, para determinar la importancia del objeto del ciberataque, se puede cargar en el equipo atacado la herramienta de software SCOUTCURL, que es un script de PowerShell que realiza un reconocimiento básico recogiendo y exfiltrando información sobre el equipo: características básicas, programas, archivos, datos del navegador de Internet, etc.”

CERT de Ucrania, aviso traducido

El aviso nombra a GHETTOVIBE y SCOUTCURL entre las herramientas usadas en la cadena, una señal de que una técnica que antes se asociaba principalmente con el cibercrimen ahora se está incorporando a las operaciones de uno de los grupos estatales rusos más capaces.

Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía Ars Technica

// Sigue leyendo