Un disertador ignorado cita un mensaje de Ars Technica: ClickFix a menudo comienza con un correo electrónico enviado desde un hotel en el que el objetivo tiene un registro irresoluto y hace narración a la información de registro correcta. En otros casos, los ataques ClickFix comienzan con un mensaje de WhatsApp. En otros casos, el afortunado recibe la URL en la parte superior de los resultados de Google para una consulta de búsqueda. Una vez que la marca accede al sitio desconfiado al que se hace narración, presenta un desafío CAPTCHA u otro pretexto que requiere la confirmación del afortunado. El afortunado recibe una instrucción para copiar una cautiverio de texto, aclarar una ventana de terminal, pegarla y presionar Enter. Una vez ingresada, la cautiverio de texto hace que la PC o Mac visite subrepticiamente un servidor controlado por un estafador y descargue malware. Luego, la máquina lo instala automáticamente, todo sin indicación alguna para el objetivo. Con esto, los usuarios quedan infectados, generalmente con malware que roba credenciales. Las empresas de seguridad dicen que las campañas de ClickFix se han extendido. La error de conocimiento de la técnica, combinada con los enlaces que igualmente provienen de direcciones conocidas o en los resultados de búsqueda, y la capacidad de eludir algunas protecciones de terminales son factores que impulsan el crecimiento.

Los comandos, que a menudo están codificados en colchoneta 64 para que sean ilegibles para los humanos, a menudo se copian en el interior del entorno circunscrito del navegador, una parte de la mayoría de los navegadores que accede a Internet en un entorno accidental diseñado para proteger los dispositivos contra malware o scripts dañinos. Muchas herramientas de seguridad no pueden observar ni marcar estas acciones como potencialmente maliciosas. Los ataques igualmente pueden ser eficaces dada la error de concienciación. Muchas personas han aprendido a lo dadivoso de los abriles a desconfiar de los enlaces en correos electrónicos o mensajes de correo. En la mente de muchos usuarios, la precaución no se extiende a los sitios que les indican que copien un fragmento de texto y lo peguen en una ventana desconocida. Cuando las instrucciones llegan en correos electrónicos de un hotel conocido o en la parte superior de los resultados de Google, los objetivos pueden concluir aún más desprevenidos. Entregado que muchas familias se reunirán en las próximas semanas para varias cenas navideñas, vale la pena mencionar las estafas de ClickFix a aquellos familiares que piden consejos de seguridad. Microsoft Defender y otros programas de protección de terminales ofrecen algunas defensas contra estos ataques, pero, en algunos casos, pueden evitarse. Eso significa que, por ahora, la concienciación es la mejor contramedida. Los investigadores de CrowdStrike describen en un mensaje una campaña diseñada para infectar Macs con un ejecutor Mach-O. “La promoción de sitios web maliciosos falsos fomenta un maduro tráfico en el sitio, lo que conducirá a más víctimas potenciales”, escribieron los investigadores. “El comando de instalación de una sola tilde permite a los actores de eCrime instalar directamente el ejecutable Mach-O en la máquina de la víctima evitando las comprobaciones de Gatekeeper”.

Empuje Seguridad, mientras tanto, reportado una campaña ClickFix que utiliza una página adaptable al dispositivo que ofrece diferentes cargas maliciosas dependiendo de si el visitante utiliza Windows o macOS.