AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Nueva campaña de malware en Australia utiliza ingeniería social “ClickFix” para propagar Vidar Stealer**

admin

### 1. Introducción

El Centro Australiano de Ciberseguridad (ACSC) ha lanzado una alerta dirigida a organizaciones y profesionales de la ciberseguridad ante la detección de una campaña activa que utiliza la técnica de ingeniería social denominada “ClickFix” para distribuir el conocido malware Vidar Stealer. Este incidente subraya la continua sofisticación de los atacantes en la explotación de vulnerabilidades humanas y técnicas, así como la necesidad de mantener una postura defensiva proactiva y actualizada en todos los sectores.

### 2. Contexto del Incidente

El ACSC ha identificado un aumento significativo en los intentos de propagación del troyano Vidar Stealer, dirigido tanto a empresas como a usuarios individuales en Australia. El vector principal de entrada es la táctica “ClickFix”, una modalidad de phishing que aprovecha mensajes cuidadosamente diseñados para persuadir a las víctimas a ejecutar acciones que desencadenan la descarga y ejecución del malware. El auge de esta campaña se enmarca en un contexto global de incremento de ataques de robo de información, con Vidar Stealer consolidándose como una de las herramientas preferidas en foros de malware-as-a-service (MaaS), debido a su eficacia y facilidad de personalización.

### 3. Detalles Técnicos

**CVE, vectores de ataque y TTP:**

Hasta el momento, la campaña no explota vulnerabilidades específicas catalogadas bajo CVE, sino que se apoya principalmente en técnicas de ingeniería social (MITRE ATT&CK: T1566.001 – Spearphishing Attachment, T1204.002 – Malicious File). Los correos fraudulentos simulan notificaciones legítimas (actualizaciones de software, alertas de soporte técnico o incidentes de seguridad), conteniendo enlaces maliciosos o archivos adjuntos (generalmente comprimidos en ZIP o ejecutables disfrazados de documentos PDF o Word).

Una vez que la víctima interactúa con el enlace o ejecuta el archivo, se descarga y ejecuta Vidar Stealer, que establece contacto con servidores C2 (Command & Control) para exfiltrar datos sensibles. Se han detectado variantes que emplean técnicas de evasión, como la desactivación de soluciones antivirus mediante scripts Powershell y el uso de binarios legítimos (living-off-the-land).

**Indicadores de Compromiso (IoC):**

– Dominios y direcciones IP asociados a C2 recientemente detectados.
– Hashes SHA256 de las muestras de Vidar Stealer utilizadas en esta campaña.
– Nombres de archivos comunes: “UpdateRequired.exe”, “SecurityNotice.pdf.exe”.
– Observación de tráfico inusual saliente en puertos no estándar y uso de proxies TOR para la exfiltración.

**Herramientas y frameworks:**
Aunque no se ha confirmado el uso de frameworks como Metasploit o Cobalt Strike en esta campaña concreta, la modularidad de Vidar Stealer permite su integración en cadenas de ataque más complejas, incluyendo la entrega de payloads secundarios.

### 4. Impacto y Riesgos

Vidar Stealer es un “infostealer” capaz de recolectar credenciales almacenadas en navegadores, carteras de criptomonedas, historial de navegación, cookies, documentos y capturas de pantalla. Se estima que un único incidente puede conducir a la exfiltración de cientos de registros en cuestión de minutos. Además, la información robada suele ser comercializada en mercados clandestinos, facilitando ataques posteriores como el compromiso de cuentas corporativas, movimientos laterales o despliegue de ransomware.

Según estadísticas recientes, Vidar Stealer ha estado implicado en un 8,5% de los incidentes de robo de credenciales a nivel global en el último semestre, con pérdidas económicas asociadas que pueden superar los 500.000 euros por incidente en organizaciones medianas, considerando costes de recuperación, sanciones regulatorias (como las impuestas por el GDPR) y daños reputacionales.

### 5. Medidas de Mitigación y Recomendaciones

– **Concienciación y formación:** Refuerce los programas de capacitación en phishing y técnicas de ingeniería social, simulando campañas reales.
– **Filtrado de correo y navegación:** Implemente soluciones de filtrado avanzado (sandboxing, análisis de adjuntos y enlaces en tiempo real).
– **Restricción de macros y ejecutables:** Bloquee la ejecución automática de macros y archivos ejecutables adjuntos en correos electrónicos.
– **Monitorización y detección:** Configure alertas en SIEM para el tráfico saliente a dominios y direcciones IP IoC, así como para la aparición de procesos sospechosos.
– **Gestión de parches:** Aunque la campaña no explota CVEs conocidos, mantenga el software actualizado para reducir la superficie de ataque.
– **Respaldo y respuesta:** Asegure copias de seguridad periódicas y revise los planes de respuesta ante incidentes, incluyendo procedimientos de revocación y cambio de credenciales.

### 6. Opinión de Expertos

Analistas del ACSC y expertos internacionales coinciden en que la persistencia de campañas basadas en ingeniería social evidencia que la “debilidad humana” sigue siendo uno de los vectores más críticos. “El auge de Vidar Stealer demuestra la rentabilidad del robo de información como servicio, y la necesidad de una defensa en profundidad que vaya más allá de la simple protección perimetral”, señala un CISO de una entidad financiera australiana. Consultoras como Mandiant y Unit 42 han registrado un incremento del 25% en la detección de Vidar Stealer en entornos corporativos durante los primeros meses de 2024.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones australianas, especialmente las que gestionan información sensible o infraestructura crítica, deben considerar la mejora de sus controles internos y la revisión de sus políticas de seguridad en línea con los estándares NIS2 y el cumplimiento de GDPR. Los administradores de sistemas y analistas SOC deben priorizar la detección de IoC relacionados con Vidar Stealer y reforzar la segmentación de red para dificultar los movimientos laterales en caso de brecha.

A nivel de usuario, la recomendación principal es la cautela ante correos o mensajes inesperados, evitando la descarga y ejecución de archivos no verificados, y la utilización de gestores de contraseñas que dificulten la exfiltración directa.

### 8. Conclusiones

La campaña “ClickFix” enfocada en la distribución de Vidar Stealer representa una amenaza significativa para la seguridad de la información en Australia y, potencialmente, a nivel global. La combinación de técnicas de ingeniería social avanzadas y malware modular obliga a las empresas a mantener estrategias de defensa multifactoriales y a una vigilancia permanente sobre las tendencias emergentes. La colaboración entre organismos, empresas y usuarios será clave para contener el impacto de esta y futuras campañas.

(Fuente: www.bleepingcomputer.com)