Técnica ClickFix: Cómo lograr que la víctima infecte su propio ordenador

La técnica ClickFix es empleada por actores maliciosos para conseguir engañar a sus víctimas y lograr que ellas mismas descarguen e instalen malware en sus dispositivos

Cuando decimos que los actores maliciosos no dejan jamás de innovar no hablamos por hablar. Sin ir más lejos, en el terreno de la ingeniería social surgen constantemente nuevas técnicas o variaciones de técnicas ya existentes con el objetivo de conseguir engañar a ciudadanos y empresas.

Así, en el último año ha ganado relevancia la técnica ClickFix que presenta una particularidad clave: a través de ella, los delincuentes buscan que sean las propias víctimas las que ejecuten código malicioso en sus ordenadores. Obviamente, sin darse cuenta de que están llevando a cabo dicha acción.

¿En qué consiste la técnica ClickFix? ¿Cuáles pueden ser sus consecuencias para ciudadanos y compañías? ¿De qué manera pueden las empresas protegerse frente a ella? A continuación, respondemos a estas preguntas.

1. Ingeniería social y malware, un binomio crítico para la actividad maliciosa

La técnica ClickFix combina, como muchas otras técnicas maliciosas, dos elementos clave: ingeniería social y malware con el fin de engañar a las víctimas, infectar sus ordenadores y acceder a credenciales, cookies, datos y documentos almacenados en ellos.

En primer lugar, los actores maliciosos suplantan la identidad de alguna empresa reconocible para la víctima y que no despierte sus suspicacias. Por ejemplo, compañías de referencia en lo relativo al software empresarial como Microsoft o Google e, incluso, empresas vinculadas al sector en el que operan las empresas a las que desean atacar.

Así, generalmente, envían un email a sus víctimas redirigiéndolas a URLs maliciosas con alguna excusa plausible como instalar una actualización de seguridad de un software.

Sin embargo, un problema en dichas páginas no permite acceder a ellas correctamente. Para solventarlo, las víctimas deben copiar y ejecutar en sus ordenadores un script. Pero lo que realmente están haciendo es ejecutar comandos de PowerShell o MSHTA que descargan y ejecutan un script en remoto que servirá para instalar un infostealer en el dispositivo de la víctima.

De esta manera, los delincuentes eluden los mecanismos de seguridad de los navegadores web que bloquean la descarga de programas maliciosos y, además, pillan desprevenidos a los usuarios que son más reacios a descargar y ejecutar software en sus ordenadores, sobre todo, si son propiedad de su empresa.

En la misma línea, debemos señalar que herramientas como PoweShell no suelen generar alertas porque es el propio usuario quien ejecuta el comando, lo que dificulta la detección automática.

Gracias a este malware, que pasa desapercibido para la víctima, los actores maliciosos pueden robar información crítica almacenada en el dispositivo como la que mencionamos antes: credenciales de acceso a software corporativo, cookies, toda clase de documentos, datos financieros, criptocarteras, etc.

2. ¿Cómo se consigue que las víctimas copien y ejecuten comandos en sus ordenadores?

¿Cuál es el elemento clave de la técnica ClickFix? Conseguir que la víctima decida copiar y ejecutar el código malicioso en su ordenador. De ahí que gran parte del éxito de esta técnica radique en la capacidad de los actores hostiles para engañar a los usuarios. ¿Qué estratagemas usan?

2.1. Solventar un problema ejecutando comandos en el dispositivo

Lo más habitual es que los actores hostiles que emplean la técnica ClickFix busquen engañar a sus víctimas presentándoles un falso problema que se puede arreglar copiando los comandos maliciosos.

Por ejemplo, pensemos en un profesional que ha hecho clic en un supuesto enlace de Google Meet. Aterriza en una página falsa tan bien diseñada que parece real. Sin embargo, le salta un pop-up con una alerta en la que se le advierte que no puede mostrarse la página correctamente hasta que solvente un problema.

Dicha alerta incluye, habitualmente, un botón que pone Fix It, de ahí que se bautizara a esta técnica como ClickFix. Al hacerlo, se copia el comando malicioso y, además, se abre otra ventana emergente indicando al usuario la ruta que debe seguir para abrir la consola de Windows, copiar el comando y ejecutarlo.

¿Solo se está empleando la técnica ClickFix contra ordenadores con sistema operativo Windows? No. Ya se han detectado ataques contra ordenadores con sistemas Linux y dispositivos macOS, iOS y Android.

Además, es importante señalar que no solo se usan páginas maliciosas para llevar a cabo la técnica ClickFix, sino que, por ejemplo, el grupo malicioso TA571 ha recurrido a un supuesto documento de Word que no se puede mostrar porque sería necesario instalar una extensión de Word Online en el navegador.

Este caso demuestra el ingenio de los actores maliciosos y su constante búsqueda de nuevas técnicas, tácticas y procedimientos.

2.2. Un falso proceso de verificación del usuario

¿Cuántas veces has intentado entrar en una página web y te has encontrado con un proceso de CAPTCHA para verificar que eres una persona y no un bot? Pues bien, los actores maliciosos también están usando páginas de CAPTCHA falsas para engañar a sus víctimas.

De tal forma que al hacer clic en el botón para verificar que el usuario es una persona se copian los comandos y se abre un pop-up similar al del caso anterior en el que se indica la ruta que debe seguir el usuario, pero disfrazándola como unos supuestos pasos de verificación de su identidad.

2.3. La técnica ClickFix ha llegado a TikTok

Pues bien, a estas estrategas clásicas, se une ahora una táctica de engaño que recurre ni más ni menos que a TikTok, la red social del momento.

A través de videos publicados en la plataforma de TikTok y creados usando IA generativa se promocionan métodos para conseguir instalar gratis en los ordenadores las versiones de pago de software como Microsoft Office o CapCut, así como la versión premium de Spotify. El alcance de estas campañas es peligroso porque estos vídeos suelen usar un gancho tipo «truco fácil» que atrae a mucha gente.

¿En qué consisten estos supuestos trucos? Efectivamente, en copiar y ejecutar comandos maliciosos. De tal forma que las víctimas no van a disfrutar del software prometido, sino que van a padecer la instalación de un infostealer que servirá para robarles contraseñas, cookies y otra información de gran valor.

A diferencia de las variantes anteriores de la técnica ClickFix, que recurren al phishing y están focalizadas en atacar a profesionales de empresas específicas, mediante esta variante se busca hacer pesca de arrastre e infectar cuantos más dispositivos mejor.

3. ¿Qué buscan los actores hostiles al emplear la técnica ClickFix?

El mantra «la información es poder» lleva siendo válido desde los albores de la civilización, pero en el mundo de la ciberseguridad es aún más cierto.

Por eso, numerosos grupos especializados en el desarrollo de malware han apostado por emplear la técnica ClickFix para adentrarse en ordenadores corporativos, consiguiendo que sean las propias víctimas las que los infecten con infostealers que sirvan para escanear navegadores web, aplicaciones de gestión de procesos de autenticación o carteras de criptomonedas. ¿En busca de qué? Credenciales, contraseñas, cookies de sesión, tokens de autenticación multifactor, etc.

¿Cuál es el fin de obtener ese caudal de información?

• Extorsionar a las empresas, amenazándolas con divulgar datos y documentos confidenciales sobre ellas o sus clientes.
• Cometer fraudes económicos contra las empresas, sus clientes o sus profesionales.
• Suplantar la identidad de la empresa y sus profesionales en fraudes contra terceros.
• Vender en la Dark Web datos que permitan a otros ciberdelincuentes cometer ataques contra las compañías, sus trabajadores, sus clientes o sus proveedores.
• Espiar a empresas específicas y comerciar con la información obtenida.

Es decir, el objetivo central es, como prácticamente siempre en el terreno de los ciberataques y los fraudes, sacar rédito económico de las actuaciones maliciosas.

¿Qué infostealers pueden usar los actores maliciosos detrás de la técnica ClickFix? La lista de malware detectados es larga: AsyncRAT, Atomic Stealer, Danabot, DarkGate, Lumma Stealer, NetSupport, Odyssey Stealer, Stealc, Vidar… Lo cual da buena muestra de la apuesta de múltiples grupos delictivos por la técnica ClickFix.

4. ¿Cómo pueden las empresas combatir la técnica ClickFix?

La técnica ClickFix puede poner en jaque a personas comunes y corrientes, pero, sobre todo, supone una gran amenaza para las empresas. ¿Por qué? Si los ciberdelincuentes consiguen infectar un ordenador corporativo pueden tener acceso a información y programas críticos para las organizaciones y causar pérdidas económicas cuantiosas.

Para hacer frente a técnicas y tácticas cada vez más sofisticadas y difíciles de detectar es fundamental que las empresas:

• Restrinjan el uso de herramientas que permiten ejecutar comandos o limiten privilegios en los equipos.
• Apuesten por formar y concienciar de manera continua a sus profesionales.

4.1. Los test de ingeniería social son claves

En este sentido, pueden someterse periódicamente a test de ingeniería social. Mediante estas pruebas, expertos en ciberseguridad llevan a cabo simulaciones de ataques personalizados para:

1. Evaluar el nivel de madurez de una organización ante técnicas de ingeniería social sofisticadas como ClickFix.
2. Definir el nivel de riesgo al que se expone la compañía ante ataques de ingeniería social y proponer medidas para reducir dicho nivel e incrementar la capacidad de resistir a las técnicas y tácticas maliciosas.
3. Concienciar a los profesionales y a los directivos de una empresa sobre las consecuencias de un ataque de ingeniería social contra su organización.
4. Formar de manera práctica a las plantillas de las compañías para que implementen una serie de buenas prácticas en su día a día que les ayuden a evitar ser víctimas de ataques de ingeniería social como la técnica ClickFix, el fraude del CEO, el malvertising o el envenenamiento SEO.

Además, claro está es fundamental que las compañías lleven a cabo auditorías de seguridad continuas para detectar la presencia de programas maliciosos en los equipos corporativos y estén preparadas para activar la respuesta a incidentes de seguridad en el menor tiempo posible para contener el impacto del mismo y expulsar a los actores hostiles.

En definitiva, el auge de la técnica ClickFix nos vuelve a demostrar que los actores maliciosos están altamente motivados y no cejan en su empeño en diseñar ataques que les permitan vencer la desconfianza de ciudadanos y profesionales y conseguir infectar sus dispositivos.

Habida cuenta de que los intentos de fraudes contra empresas y personas no dejan de crecer, es imprescindible que las compañías incrementen su capacidad de resiliencia frente a la ingeniería social e implementen servicios de seguridad que les permitan lograrlo.