Más Allá del Campo de Inicio de Sesión: La Técnica de Phishing para la que los Usuarios No Están Preparados
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El phishing moderno ha evolucionado más allá del simple robo de credenciales y ahora incluye técnicas avanzadas como ClickFix, el navegador-en-el-navegador, el phishing de consentimiento de OAuth, el phishing de código de dispositivo y superposiciones falsas de videoconferencias. Estos enfoques eluden la capacitación tradicional de concienciación al abusar de herramientas del sistema confiables, plataformas en la nube legítimas y el comportamiento común de resolución de problemas del usuario. En lugar de solo robar contraseñas, los atacantes intentan cada vez más eludir la autenticación multifactor convenciendo a los usuarios de aprobar sesiones maliciosas o ejecutar comandos a través de utilidades terminales nativas.
Investigación
Huntress observó estos cambios tácticos a través de sus servicios gestionados EDR e ITDR, identificando un cambio más amplio hacia el abuso nativo del navegador y los atajos de ingeniería social. El equipo notó un aumento considerable en el phishing de código de dispositivo y examinó cómo los ataques estilo ClickFix explotan la memoria muscular del usuario para activar la ejecución de comandos maliciosos. La investigación también muestra cómo los atacantes aprovechan la confianza que los usuarios depositan en plataformas legítimas como Microsoft y Google para obtener acceso no autorizado.
Mitigación
Las organizaciones deben ir más allá de los programas estáticos de concienciación sobre seguridad y adoptar simulaciones interactivas que reflejen las técnicas actuales de phishing. Se debe entrenar a los usuarios para detectar comportamientos sospechosos del navegador, incluidas ventanas falsas que no se pueden arrastrar fuera del marco del navegador, y evitar ingresar códigos de autorización de dispositivos que no iniciaron ellos mismos. También son esenciales controles sólidos de ITDR y EDR para detectar concesiones de OAuth no autorizadas y actividad sospechosa de ejecución de comandos.
Respuesta
Cuando se detecta la ejecución de comandos sospechosos, como Win+R seguido de actividad inesperada en terminal, los respondedores deben aislar el punto final inmediatamente. En casos de sospecha de compromiso de OAuth o código de dispositivo, los administradores deben revocar todas las sesiones activas y los tokens de actualización para la cuenta afectada y revisar la actividad reciente de consentimiento de aplicaciones. También se deben revisar los registros de auditoría en busca de eventos inusuales de Microsoft Entra ID y signos de instalación no autorizada de herramientas de RMM.
Flujo de Ataque
Detecciones
Descarga de Ejecutable Sospechosa (vía proxy)
Ver
Posibles Patrones de Ataque ClickFix En Línea de Comando (vía cmdline)
Ver
Ataque de Phishing ConsentFix Apuntando al Robo de Código de Autorización OAuth de Azure AD [Logs de Actividad de Azure]
Ver
Detección de Actividad Sospechosa Basada en Técnicas de Ataque ClickFix [Creación de Procesos de Windows]
Ver
Ejecución de Simulación
Requisito: La Verificación de Telemetría y Línea Base debe haber sido aprobada.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa de Ataque y Comandos: El adversario utiliza un falso «CAPTCHA» o «Actualización de Navegador» para engañar al usuario. La solicitud instruye al usuario a presionar
Win+R, luegoCtrl+V, luegoEnterpara «verificar que son humanos.» El usuario sin saberlo pega un comando malicioso que crea un archivo llamadoCAPTCHA_verification.txty luego ejecuta un comando shell que contiene las cadenas de instrucciones para imitar la entrada «pegada» del usuario. Esta simulación creará un archivo llamado «CAPTCHA_file.txt» y luego ejecutará un comando que contiene las cadenas «Ctrl+V» y «Enter» para cumplir con lasselección1andselección2condiciones. -
Script de Prueba de Regresión:
# Simulación de TTPs de ClickFix # 1. Crear un archivo con 'CAPTCHA' en el nombre para activar selección2 (EventID 11) $filePath = "$env:TEMPCAPTCHA_instruction.txt" New-Item -Path $filePath -ItemType File -Force # 2. Ejecutar un proceso con 'Ctrl+V' y 'Enter' en la línea de comandos para activar selección1 (EventID 1) # Usamos cmd.exe como el proceso objetivo. Start-Process cmd.exe -ArgumentList "/c echo Usuario presionó Ctrl+V y Enter > $filePath" -
Comandos de Limpieza:
# Limpiar artefactos simulados Remove-Item -Path "$env:TEMPCAPTCHA_instruction.txt" -Force -ErrorAction SilentlyContinue