Incluso los hackers prefieren no escribir código complejo: solo te piden abrir la terminal.
Astucia, no magia: por qué la psicología vence a la tecnología
La agrupación Velvet Tempest, conocida por su participación en ataques de alto perfil con ransomware, volvió a llamar la atención de los especialistas. Esta vez el grupo fue vinculado a una cadena de intrusiones en la que los atacantes emplearon la técnica ClickFix, herramientas integradas de Windows y un conjunto de componentes maliciosos que conducen al despliegue de CastleRAT y de infraestructura relacionada con Termite.
Las observaciones las realizó la empresa MalBeacon, que durante 12 días rastreó las acciones de los atacantes en un entorno emulado que reproducía la infraestructura de una gran organización sin fines de lucro de EE. UU. En la red de laboratorio había más de 3000 dispositivos finales y más de 2500 usuarios, lo que permitió ver casi todo el desarrollo del ataque.
Según MalBeacon, los atacantes obtuvieron el acceso inicial mediante una campaña de malvertising. La víctima era redirigida a una página con el cebo ClickFix y un CAPTCHA, donde se le pedía insertar un comando confuso en el cuadro «Ejecutar» de Windows. Al iniciarse, comenzaba una cadena de comandos cmd.exe, y para descargar los primeros componentes se usó la utilidad finger.exe. Uno de los archivos estaba disfrazado como un PDF, aunque en su interior había un archivo comprimido.
Tras la intrusión, los operadores de Velvet Tempest exploraron manualmente el entorno, recopilaron información sobre Active Directory, buscaron hosts en la red y evaluaron la configuración de la infraestructura. Para robar credenciales guardadas en Chrome se empleó un script de PowerShell. La dirección desde la que se descargó el script, según los autores del informe, se relacionó con la preparación de ataques que utilizan Termite.
En las etapas siguientes, PowerShell se usó para descargar comandos adicionales y ejecutar nuevos módulos. Mediante csc.exe los atacantes compilaban componentes .NET en directorios temporales, y para persistir colocaban módulos de Python en C:\ProgramData. Al final de la cadena entraba en el sistema DonutLoader, tras lo cual se cargaba la puerta trasera CastleRAT. La familia CastleRAT se asocia con el cargador CastleLoader, que ya se había utilizado para distribuir diversos troyanos de acceso remoto y programas que roban credenciales, incluido LummaStealer.
MalBeacon subraya que en la intrusión registrada no se llegó a ejecutar finalmente el cifrador Termite, aunque la infraestructura y herramientas aisladas apuntaban a una relación con operaciones de este tipo. Habitualmente Velvet Tempest se considera participante en ataques de doble extorsión, cuando los datos se roban antes de cifrarlos.
El grupo arrastra desde hace tiempo el rastro de algunas de las campañas más destructivas de los últimos años. A Velvet Tempest se le ha vinculado con despliegues de Ryuk, REvil, Conti, BlackMatter, BlackCat o ALPHV, LockBit y RansomHub. El método ClickFix también lo utilizan cada vez más otros operadores de ransomware. Con anterioridad se informó de esquemas similares en relación con Interlock.