Encendí mi computadora el lunes por la mañana de esta semana y, como hago casi todos los días, visité el sitio web de una empresa que contactó con Emsisoft recientemente. Al acceder al sitio, mi navegador me redirigió a una página de Cloudflare para verificar mi identidad, lo cual me pareció razonable un lunes por la mañana antes de terminar mi primer café.

👆CAPTCHA de formato común (que para los curiosos sin remedio es un acrónimo: Prueba de Turing pública y completamente automatizada para distinguir entre computadoras y humanos).

En lugar de pedirme que deslizara una barra, identificara un coche o un semáforo, esta página me indicaba otras cosas curiosas que me llamaron la atención. Pista n.º 1: Resulta que se trataba de un ataque de ingeniería social de ClickFix, y como los resfriados entre los escolares en otoño, ¡hoy en día está por todas partes!

He aquí un breve resumen de lo que encontramos.

La página me indicó que abriera una terminal y pegara un texto: “No soy un robot: ID de verificación de Cloudflare: 715921”.

Llevo mucho tiempo usando líneas de comandos en varios sistemas operativos, y este comando es un desastre: solo producía un error en una ventana de terminal. Sin embargo, la página me ayudó bastante a ahorrarme el tremendo esfuerzo de seleccionar el texto, ya que ofrecía un botón para copiar (el texto era una imagen, no texto, así que no podía seleccionarlo). Consejo n.º 2.

Tras despertar mis sospechas, hice clic en el botón de copiar, pero en lugar de pegarlo en una ventana de terminal, lo pegué en TextEdit (aquí debo mencionar que usaba una Mac). Esto es lo que se copió (modifiqué algunos caracteres para evitar propagar la infección):

Esto no se parece en nada a lo que decía que iba a copiar. Este comando toma esa cadena de jerga, la decodifica en base64 y la ejecuta. Quien lo hizo estaba usando una codificación base64 simple para ofuscar el comando. Pista n.° 3. En este punto, era claramente algo malicioso; de lo contrario, ¿para qué molestarse en ocultar el comando? En fin, lo extraje, y esto es lo que intentaba ejecutar en mi ordenador (de nuevo con algunos caracteres modificados):

En esta línea, curl es una herramienta de línea de comandos para transferir datos con URL. El modificador -s habilita el modo silencioso, evitando así el indicador de progreso y los mensajes de error, lo que evita aún más sospechas. Todo se ejecuta en la shell bash, y -nohup le indica que complete la ejecución incluso si la ventana de terminal está cerrada, en segundo plano gracias al "&" al final.

¿Y qué transfiere este comando? Malware a mi ordenador. En concreto, malware para Mac (aquí está en VirusTotal), por lo que el script del sitio web comprometido tiene la inteligencia para alimentar malware según el sistema operativo de la víctima.

Por suerte, estaba ejecutando nuestro próximo Emsisoft Enterprise Security para Mac, y junto con mi curiosidad y desconfianza innatas, la carga útil nunca tuvo oportunidad de ejecutarse. Hemos estado probando exhaustivamente nuestra pila de protección para macOS, y este incidente nos recordó oportunamente por qué es necesaria. Pronto compartiremos más noticias al respecto.

Este tipo de táctica de amenaza no es nueva, pero sigue siendo una amenaza. Manténganse seguros. Manténganse alerta.