AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Grupos de ransomware emplean la técnica ClickFix y utilidades legítimas de Windows para distribuir DonutLoader y CastleRAT**

admin

### 1. Introducción

Durante los últimos meses, la sofisticación de los actores de amenazas ha ido en aumento, especialmente en el ámbito del ransomware y el despliegue de malware dirigido a entornos corporativos. Un ejemplo reciente es el grupo Velvet Tempest, conocido por su vinculación con ataques de ransomware, que ha comenzado a explotar la técnica ClickFix, combinándola con utilidades nativas de Windows para distribuir cargas maliciosas como DonutLoader y el backdoor CastleRAT. Este modus operandi representa una evolución en las tácticas de evasión y persistencia empleadas por los grupos de ransomware actuales.

### 2. Contexto del Incidente o Vulnerabilidad

Velvet Tempest, rastreado por distintos equipos de inteligencia de amenazas, ha sido relacionado con campañas de ransomware dirigidas principalmente a sectores críticos y empresas medianas y grandes de Europa y América del Norte. En sus últimas campañas, han adoptado el método ClickFix, una técnica que aprovecha la interacción del usuario con supuestos parches de software para ejecutar código malicioso bajo el contexto de utilidades legítimas de Windows.

El uso de herramientas nativas del sistema operativo, como PowerShell, Windows Management Instrumentation (WMI) y msiexec.exe, dificulta la detección por parte de soluciones de seguridad tradicionales, ya que el comportamiento del malware se camufla entre operaciones habituales del sistema.

### 3. Detalles Técnicos

#### CVEs y Vectores de Ataque

Hasta el momento, no se han identificado CVEs específicos explotados en estas campañas; sin embargo, la técnica ClickFix se basa en la ingeniería social y el uso de instaladores maliciosos disfrazados de parches legítimos. El vector inicial suele ser el envío de correos electrónicos de phishing con enlaces o archivos adjuntos que simulan actualizaciones críticas o parches de seguridad.

#### Técnica ClickFix

ClickFix consiste en persuadir al usuario para que descargue y ejecute manualmente un supuesto parche, el cual, en realidad, es un cargador de malware que aprovecha utilidades legítimas de Windows para su ejecución.

#### Utilidades y Herramientas Involucradas

– **DonutLoader:** Un cargador modular capaz de inyectar payloads .NET en la memoria de procesos legítimos, evitando así la detección basada en archivos.
– **CastleRAT:** Un backdoor avanzado que permite el control remoto persistente y la exfiltración de datos, además de capacidades de movimiento lateral.
– **Herramientas nativas de Windows:** PowerShell, WMI y msiexec.exe se utilizan para la descarga y ejecución de los payloads, además de la persistencia y evasión.

#### TTPs MITRE ATT&CK

– **Initial Access (T1566):** Phishing por correo electrónico.
– **Execution (T1059, T1218):** Uso de PowerShell y ejecución de binarios confiables.
– **Defense Evasion (T1036, T1027):** Mascaramiento de payloads e inyección en memoria.
– **Persistence (T1547):** Modificación de claves del registro y tareas programadas.
– **Command and Control (T1071):** Comunicación cifrada con servidores C2.

#### Indicadores de Compromiso (IoC)

– Hashes de los cargadores DonutLoader y CastleRAT.
– Dominios y direcciones IP asociadas a los servidores C2.
– Artefactos en el registro y tareas programadas anómalas.

### 4. Impacto y Riesgos

El impacto potencial de estas campañas es elevado, especialmente debido a:

– La capacidad de evasión de DonutLoader, que reduce la visibilidad de los sistemas EDR y antivirus.
– El acceso persistente y sigiloso de CastleRAT, que puede conducir a la exfiltración masiva de datos y al despliegue posterior de ransomware.
– La utilización de binarios y utilidades legítimas complica la atribución y la respuesta ante incidentes, aumentando el tiempo medio de detección (MTTD).
– Según estimaciones recientes, hasta un 15% de los ataques de ransomware en 2024 han implicado cadenas de infección similares, con pérdidas económicas que superan los 100 millones de euros a nivel global.

### 5. Medidas de Mitigación y Recomendaciones

– **Desplegar soluciones EDR avanzadas** capaces de monitorizar el uso anómalo de utilidades nativas.
– **Bloquear la ejecución de scripts y binarios desconocidos** mediante políticas de AppLocker o Windows Defender Application Control.
– **Monitorizar y restringir el uso de PowerShell, WMI y msiexec.exe** para cuentas no administrativas.
– **Formación continua a empleados** sobre riesgos de phishing y la descarga de parches solo desde fuentes oficiales.
– **Revisión periódica de artefactos persistentes** (tareas programadas, claves del registro).
– **Implementar segmentación de red** y principio de privilegio mínimo para limitar el alcance de posibles movimientos laterales.
– **Cumplimiento estricto de normativas** como GDPR y NIS2, reforzando la gestión de incidentes y notificación en caso de brechas.

### 6. Opinión de Expertos

Especialistas en análisis de amenazas, como los equipos de respuesta de CERT-EU y consultores de Mandiant, destacan la peligrosidad de este tipo de campañas por su capacidad de camuflaje y persistencia. “El uso de herramientas legítimas para fines maliciosos marca una tendencia preocupante, donde la detección basada únicamente en firmas es claramente insuficiente”, señala un analista senior. Recomiendan enfoques de seguridad basados en comportamiento y una estrategia de Zero Trust como respuesta eficaz.

### 7. Implicaciones para Empresas y Usuarios

Las empresas deben revisar de inmediato sus políticas de gestión de parches y la formación de los usuarios para evitar la explotación de técnicas como ClickFix. El riesgo para la continuidad del negocio y la protección de datos sensibles es considerable, especialmente ante la amenaza de doble extorsión (exfiltración y cifrado). Los usuarios deben ser advertidos sobre la importancia de verificar la autenticidad de cualquier actualización recibida por correo o canales no oficiales.

### 8. Conclusiones

La campaña de Velvet Tempest pone de manifiesto la necesidad de evolucionar las estrategias defensivas en torno al uso de utilidades legítimas de Windows y la ingeniería social avanzada. La combinación de DonutLoader, CastleRAT y la técnica ClickFix representa un desafío técnico considerable tanto para defensores como para equipos de respuesta a incidentes. La concienciación, la monitorización avanzada y la adopción de marcos de seguridad adaptativos son esenciales para mitigar estos riesgos en el contexto de ciberamenazas actual.

(Fuente: www.bleepingcomputer.com)