La operación ransomware conocida como red de fugas ha adoptado la táctica de ingeniería social ClickFix entregada a través de sitios web comprometidos como método de acceso inicial.

El uso de ClickFix, donde se engaña a los usuarios para que ejecuten manualmente comandos maliciosos para solucionar errores inexistentes, es un alejamiento de la dependencia de métodos tradicionales para obtener acceso inicial, como a través de credenciales robadas adquiridas de agentes de acceso inicial (IAB), ReliaQuest. dicho en un informe técnico publicado hoy.

El segundo aspecto importante de estos ataques es el uso de un cargador de comando y control (C2) por etapas integrado en el tiempo de ejecución de JavaScript de Deno para ejecutar cargas útiles maliciosas directamente en la memoria.

«La conclusión clave aquí es que ambas rutas de entrada conducen siempre a la misma secuencia repetible posterior a la explotación», dijo la empresa de ciberseguridad. «Eso les da a los defensores algo concreto con qué trabajar: comportamientos conocidos que pueden detectar e interrumpir en cada etapa, mucho antes de la implementación del ransomware, independientemente de cómo entró LeakNet».

LeakNet surgió por primera vez en noviembre 2024, describiendo como un «vigilante digital» y enmarcando sus actividades como centradas en la libertad y la transparencia en Internet. Según datos captados por dragosel grupo también tiene dirigido entidades industriales.

El uso de ClickFix para atacar a las víctimas ofrece varias ventajas, la más importante es que reduce la dependencia de terceros proveedores, reduce el costo de adquisición por víctima y elimina el cuello de botella operativo de esperar a que cuentas valiosas lleguen al mercado.

En estos ataques, los sitios legítimos pero comprometidos se utilizan para realizar comprobaciones de verificación CAPTCHA falsas que instruyen a los usuarios a copiar y pegar un comando «msiexec.exe» en el cuadro de diálogo Ejecutar de Windows. Los ataques no se limitan a una industria vertical específica, sino que extienden una amplia red para infectar a tantas víctimas como sea posible.

El desarrollo se produce a medida que más actores de amenazas están adoptando el manual ClickFix, ya que abusa de los flujos de trabajo cotidianos y confiables para atraer a los usuarios a ejecutar comandos maliciosos a través de herramientas legítimas de Windows de una manera que parezca rutinaria y segura.

«La adopción de ClickFix por parte de LeakNet marca tanto la primera expansión documentada de la capacidad de acceso inicial del grupo como un cambio estratégico significativo», dijo ReliaQuest.

«Al alejarse de los IAB, LeakNet elimina una dependencia que naturalmente limitaba la rapidez y amplitud con la que podía operar. Y debido a que ClickFix se entrega a través de sitios web legítimos, pero comprometidos, no presenta las mismas señales obvias en la capa de red que la infraestructura propiedad del atacante».

Además del uso de ClickFix para iniciar la cadena de ataque, se evalúa que LeakNet utiliza un cargador basado en Deno para ejecutar JavaScript codificado en Base64 directamente en la memoria para minimizar la evidencia en el disco y evadir la detección. La carga útil está diseñada para tomar huellas dactilares del sistema comprometido, contactar a un servidor externo para buscar malware de la siguiente etapa y entrar en un ciclo de sondeo que busca y ejecuta repetidamente código adicional a través de Deno.

Por otra parte, ReliaQuest dijo que también observó un intento de intrusión en el que los actores de amenazas utilizaron phishing basado en Microsoft Teams para diseñar socialmente a un usuario para que lanzara una cadena de carga útil que terminaba en un cargador similar basado en Deno. Si bien la actividad permanece sin atribuir, el uso del enfoque Bring Your Own Runtime (BYOR) indica una ampliación de los vectores de acceso iniciales de LeakNet o que otros actores de amenazas han adoptado la técnica.

La actividad posterior al compromiso de LeakNet sigue una metodología consistente: comienza con el uso de carga lateral de DLL para lanzar una DLL maliciosa entregada a través del cargador, seguido del movimiento lateral usando PsExec, exfiltración de datos y cifrado.

«LeakNet ejecuta cmd.exe /c klist, un comando integrado de Windows que muestra las credenciales de autenticación activas en el sistema comprometido. Esto le dice al atacante qué cuentas y servicios ya son accesibles sin la necesidad de solicitar nuevas credenciales, para que puedan moverse más rápido y más deliberadamente», dijo ReliaQuest.

«Para la puesta en escena y la exfiltración, LeakNet utiliza depósitos S3, explotando la apariencia del tráfico normal en la nube para reducir su huella de detección».

El desarrollo se produce cuando Google reveló que Qilin (también conocido como Agenda), Akira (también conocido como RedBike), Cl0p, Play, SafePay, INC Ransom, Lynx, RansomHub, DragonForce (también conocido como FireFlame y FuryStorm) y Sinobi emergieron como las 10 principales marcas de ransomware con más víctimas reclamadas en sus sitios de fuga de datos.

«En un tercio de los incidentes, el vector de acceso inicial fue la explotación confirmada o sospechada de vulnerabilidades, con mayor frecuencia en VPN y firewalls comunes», dijo Google Threat Intelligence Group (GTIG) dichoy agregó que el 77% de las intrusiones de ransomware analizadas incluyeron sospecha de robo de datos, un aumento desde el 57% en 2024.

«A pesar de la agitación actual causada por los conflictos y la interrupción de los actores, los actores del ransomware siguen muy motivados y el ecosistema de extorsión demuestra una resiliencia continua. Varios indicadores sugieren que Sin embargo, la rentabilidad general de estas operaciones está disminuyendo, y al menos algunos actores de amenazas están alejando su cálculo de objetivos de las grandes empresas para centrarse en ataques de mayor volumen contra organizaciones más pequeñas».

Investigadores de ciberseguridad han revelado detalles de una nueva campaña cibernética rusa dirigida a entidades ucranianas con dos familias de malware previamente indocumentadas llamadas pata mala y MiauMiau.

«La cadena de ataque se inicia con un correo electrónico de phishing que contiene un enlace a un archivo ZIP. Una vez extraído, un archivo HTA inicial muestra un documento señuelo escrito en ucraniano sobre apelaciones para cruzar la frontera para engañar a la víctima», ClearSky dicho en un informe publicado esta semana.

En paralelo, la cadena de ataque conduce a la implementación de un cargador basado en .NET llamado BadPaw, que luego establece comunicación con un servidor remoto para buscar e implementar una puerta trasera sofisticada llamada MeowMeow.

La campaña se ha atribuido con moderada confianza al actor de amenazas patrocinado por el estado ruso conocido como APT28, basándose en la huella de objetivos, la naturaleza geopolítica de los señuelos utilizados y las superposiciones con técnicas observadas en operaciones cibernéticas rusas anteriores.

El punto de partida de la secuencia de ataque es un correo electrónico de phishing enviado desde ukr.[.]net, probablemente en un intento de establecer credibilidad y asegurar la confianza de las víctimas objetivo. En el mensaje hay un enlace a un supuesto archivo ZIP, lo que hace que el usuario sea redirigido a una URL que carga una «imagen excepcionalmente pequeña», actuando efectivamente como un píxel de seguimiento para indicar a los operadores que se hizo clic en el enlace.

Una vez que se completa este paso, la víctima es redirigida a una URL secundaria desde donde se descarga el archivo. El archivo ZIP incluye una aplicación HTML (HTA) que, una vez iniciada, suelta un documento señuelo como mecanismo de distracción, mientras ejecuta etapas de seguimiento en segundo plano.

«El documento señuelo arrojado sirve como una táctica de ingeniería social, presentando una confirmación de recibo de una apelación del gobierno sobre un cruce fronterizo con Ucrania», dijo ClearSky. «Este señuelo tiene como objetivo mantener el barniz de legitimidad».

El archivo HTA también realiza comprobaciones para evitar su ejecución en entornos sandbox. Para ello, consulta la clave del Registro de Windows «KLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate» para estimar la «antigüedad» del sistema operativo. El malware está diseñado para cancelar la ejecución si el sistema se instaló menos de diez días antes.

Si el sistema cumple con los criterios del entorno, el malware localiza el archivo ZIP descargado y extrae dos archivos de él (un Visual Basic Script (VBScript) y una imagen PNG) y los guarda en el disco con nombres diferentes. También crea una tarea programada para ejecutar VBScript como una forma de garantizar la persistencia en el sistema infectado.

La responsabilidad principal de VBScript es extraer código malicioso incrustado en la imagen PNG, un cargador ofuscado conocido como BadPaw que es capaz de contactar a un servidor de comando y control (C2) para descargar componentes adicionales, incluido un ejecutable llamado MeowMeow.

«De acuerdo con el oficio ‘BadPaw’, si este archivo se ejecuta independientemente de la cadena de ataque completa, inicia una secuencia de código ficticio», explicó la compañía israelí de ciberseguridad. «Esta ejecución señuelo muestra una interfaz gráfica de usuario (GUI) que presenta una imagen de un gato, alineándose con el tema visual del archivo de imagen inicial del cual se extrajo el malware principal».

«Cuando se hace clic en el botón ‘MeowMeow’ dentro de la GUI del señuelo, la aplicación simplemente muestra un mensaje ‘Meow Meow Meow’, sin realizar más acciones maliciosas. Esto sirve como un señuelo funcional secundario para engañar al análisis manual».

El código malicioso de la puerta trasera se activa solo cuando se ejecuta con un determinado parámetro («-v») proporcionado por la cadena de infección inicial, y después de verificar que se está ejecutando en un punto final real en lugar de en una zona de pruebas, y que no se ejecutan herramientas forenses y de monitoreo como Wireshark, Procmon, Ollydbg y Fiddler en segundo plano.

En esencia, MeowMeow está equipado para ejecutar de forma remota comandos de PowerShell en el host comprometido y admitir operaciones del sistema de archivos, como la capacidad de leer, escribir y eliminar datos. ClearSky dijo que identificó cadenas en idioma ruso en el código fuente, lo que refuerza la evaluación de que la actividad es obra de un actor de amenazas de habla rusa.

«La presencia de estas cadenas en ruso sugiere dos posibilidades: el actor de la amenaza cometió un error de seguridad operativa (OPSEC) al no localizar el código para el entorno de destino ucraniano, o inadvertidamente dejó artefactos de desarrollo rusos dentro del código durante la fase de producción del malware», dijo.