Intentaron bloquear la publicidad y acabaron bloqueando el equipo: Microsoft explica qué falla en el «nuevo» uBlock
El truco está en que la trampa no se activa de inmediato.
Microsoft ha detectado una nueva variante de la campaña ClickFix, en la que los atacantes apuestan por un fallo molesto del navegador y la ingeniería social posterior. La técnica se denomina CrashFix y, según el equipo de Microsoft Defender, aumenta las probabilidades de ejecutar comandos maliciosos sin las explotaciones clásicas de vulnerabilidades.
El escenario comienza con la búsqueda de un bloqueador de anuncios. La víctima encuentra un anuncio malicioso que conduce a Chrome Web Store, creando la sensación de legitimidad. Allí se ofrece una extensión que se hace pasar por uBlock Origin Lite. Tras la instalación no se manifiesta de inmediato, sino que activa una carga retardada para que la relación entre la extensión y los problemas sea menos evidente.
A continuación, la extensión provoca deliberadamente que el navegador se bloquee, creando un bucle infinito, y luego muestra una advertencia falsa de CrashFix que incita a «restaurar» la funcionalidad. En esta fase se solicita al usuario que ejecute comandos en el cuadro de diálogo del sistema de Windows. Una característica de la nueva cadena es que los atacantes abusan de la utilidad nativa de Windows finger.exe, la copian en una carpeta temporal y la renombran para dificultar el análisis. El archivo renombrado se conecta a la infraestructura remota y recibe comandos ofuscados de PowerShell, que descargan los siguientes componentes.
Una de las etapas comprueba el entorno, busca herramientas de análisis en ejecución y determina si el equipo está unido a un dominio. Al detectar una máquina de dominio la cadena despliega una distribución portátil de WinPython y luego ejecuta un troyano de acceso remoto en Python, que Microsoft denominó ModeloRAT. Para la ejecución sigilosa se utiliza pythonw.exe, y la persistencia se consigue mediante un inicio automático en el registro. En cadenas adicionales se observó la descarga de componentes de Python a través de Dropbox, así como la creación de una tarea programada llamada SoftwareProtection que ejecuta el código malicioso cada 5 minutos.
Microsoft recomienda reforzar la protección a nivel de comportamiento y reducir las posibilidades de abuso de utilidades integradas. Entre las medidas se citan la protección antivirus en la nube y el modo de bloqueo para EDR, el filtrado del tráfico saliente y la restricción de la actividad de herramientas poco usadas como finger.exe, la activación de la protección web y la protección de red, la aplicación estricta de MFA, así como prohibir el almacenamiento de contraseñas laborales en los navegadores y desactivar la sincronización de contraseñas en los dispositivos gestionados. En la elaboración del informe participaron Sai Chakri Kandalai y Kaustubh Mangalvedhekar.