Por revistaeyn.com
Así como la tecnología avanza a pasos agigantados, el cibercrimen no se queda atrás. Los actores maliciosos desarrollan constantemente nuevas tácticas para obtener información confidencial o beneficios económicos.
Clickfix es una técnica de ingeniería social, documentada por primera vez a principio de 2024, utiliza ventanas emergentes que simulan problemas técnicos y manipulan a sus víctimas para que ejecuten scripts maliciosos.
La excusa que se utiliza para contactar a las víctimas es que se necesita actualizar el navegador, que hay un error al abrir un documento, problemas con el micrófono en Google Meet o Zoom o, incluso, que se debe ingresar un CAPTCHA para continuar.
La táctica clickfix busca engañar a las personas para que descarguen el malware y lo ejecuten sin la necesidad de una descarga directa desde el navegador ni alguna ejecución manual de archivos. El malware se ejecuta en la memoria en vez de escribirse en el disco. Así, logra evadir los mecanismos de seguridad del navegador, y no levanta sospecha en los usuarios.
"Durante este tipo de ataque, los sitios comprometidos van mostrando falsas alertas, las cuales advierten que la página o documento no puede mostrarse hasta tanto el usuario haga clic en “Fix It” y siga los pasos correspondientes. De hacerlo, el usuario termina ejecutando código malicioso e instalando malware, sin saberlo”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de investigación de ESET Latinoamérica.
Según informa el Departamento de Salud y Servicios Humanos de los Estados Unidos en su análisis de la distribución de este malware, “los atacantes también podrían estar apuntando a usuarios que buscan juegos, lectores de PDF, navegadores Web3 y aplicaciones de mensajería”.
El nombre ClickFix se debe a que las notificaciones falsas, suelen contener un botón con una relación directa al verbo "to fix" (Fix it, How to fix, Fix). Aunque en realidad, se está ejecutando la descarga de malware. Estas instrucciones suelen ser:
Para no ser víctima de los ataques que involucran ClickFix, desde ESET comparten medidas concretas que se pueden aplicar. Por ejemplo:
Informarse: la educación sobre esta y otras tácticas de ingeniería social y phishing es clave para reconocerlas y no caer en la trampa.
Contar con una solución antimalware: es el primer paso para estar protegido, siempre manteniéndose al día con las actualizaciones.
Activar el doble factor de autenticación: es clave por si las credenciales de acceso de las cuentas caen en las manos equivocadas.
