Ciberdelincuentes están utilizando una nueva técnica en ataques ClickFix para distribuir malware, aprovechando consultas DNS para entregar scripts de PowerShell maliciosos. Este es el primer uso conocido de DNS como canal en estas campañas, que normalmente engañan a los usuarios para que ejecuten comandos maliciosos manualmente. En la nueva variante, los atacantes instruyen a las víctimas para que ejecuten un comando nslookup que consulta un servidor DNS controlado por ellos, en lugar del servidor DNS predeterminado del sistema. La respuesta de esta consulta contiene un script de PowerShell que se ejecuta automáticamente en el dispositivo, descargando un archivo ZIP que incluye un runtime de Python y scripts maliciosos para reconocimiento y establecimiento de persistencia. El objetivo final es instalar un Troyano de acceso remoto (ModeloRAT) que permite el control remoto del sistema comprometido. Microsoft ha detectado que esta técnica permite a los atacantes modificar las cargas útiles sobre la marcha y mezclarse con el tráfico DNS normal. Los ataques ClickFix han evolucionado rápidamente, incorporando tácticas como el abuso de la Azure CLI y la promoción de ataques a través de plataformas como Pastebin y páginas de IA, demostrando la creciente sofisticación de las amenazas cibernéticas.
Noticias agregadas con IA