Análisis Técnico de la Campaña de Phishing Evalusion y la Técnica ClickFix
En el panorama actual de la ciberseguridad, las campañas de phishing representan una de las amenazas más persistentes y evolucionadas. La campaña conocida como Evalusion destaca por su sofisticación, al emplear la técnica ClickFix para evadir mecanismos de detección y maximizar la captación de credenciales de usuarios. Este artículo examina en profundidad los aspectos técnicos de esta campaña, sus mecanismos operativos, las implicaciones para las organizaciones y las estrategias de mitigación recomendadas. Basado en análisis recientes de expertos en seguridad, se detalla cómo esta operación aprovecha vulnerabilidades humanas y técnicas para perpetrar fraudes de suplantación de identidad.
Descripción General de la Campaña Evalusion
La campaña Evalusion se centra en el engaño relacionado con procesos de reclutamiento laboral. Los atacantes envían correos electrónicos falsos que simulan ofertas de empleo de compañías reconocidas, como Google, Microsoft o Amazon. Estos mensajes incluyen enlaces a sitios web maliciosos que prometen evaluaciones técnicas o pruebas de aptitud. Una vez que el usuario accede al enlace, se inicia un flujo diseñado para robar datos sensibles, incluyendo credenciales de autenticación multifactor (MFA).
Desde su detección en 2023, Evalusion ha evolucionado rápidamente, registrando un aumento en el volumen de correos distribuidos. Según informes de firmas de ciberseguridad, se han identificado más de 500 dominios únicos asociados a esta campaña en los últimos meses. Estos dominios suelen registrarse a través de servicios de privacidad de WHOIS, lo que complica el rastreo de los operadores. La campaña opera principalmente en inglés y español, targeting audiencias en Estados Unidos, Europa y América Latina, lo que resalta su alcance global.
Los correos iniciales utilizan plantillas profesionales, con asuntos como “Oportunidad de Empleo en Google: Evaluación Técnica” o “Prueba de Aptitud para Microsoft”. Incluyen logotipos auténticos robados de sitios web legítimos y lenguaje persuasivo que genera urgencia, como “Responda en las próximas 24 horas para asegurar su entrevista”. Esta aproximación explota el deseo de movilidad laboral en un mercado competitivo, aumentando la tasa de clics en un estimado del 15-20% comparado con phishing genérico.
La Técnica ClickFix: Mecanismos Técnicos y Funcionamiento
La técnica ClickFix es el núcleo innovador de Evalusion, diseñada para contrarrestar comportamientos comunes de los usuarios que intentan abandonar páginas sospechosas. ClickFix opera mediante JavaScript en el lado del cliente, interceptando eventos de cierre de pestañas o ventanas del navegador. Cuando un usuario hace clic en el botón de cierre (X) o presiona Ctrl+W, el script previene el cierre predeterminado y, en su lugar, abre una nueva ventana o pestaña con el contenido malicioso real.
Desde un punto de vista técnico, esta implementación se basa en la API de Window del DOM (Document Object Model). El código JavaScript típico involucrado es el siguiente en su forma básica:
- Interceptación de eventos: Se utiliza
window.onbeforeunloadpara detectar intentos de salida. Esta función se activa antes de que la página se descargue o cierre, permitiendo la ejecución de código personalizado. - Apertura de ventana secundaria: Mediante
window.open(), se genera una nueva ventana con URL maliciosa. Para evadir bloqueadores de pop-ups, el script simula un clic del usuario o usawindow.focus()para mantener la visibilidad. - Manipulación del DOM: Elementos como iframes o divs ocultos cargan proxies de phishing, asegurando que el contenido persista incluso si el usuario cierra la ventana principal.
En Evalusion, ClickFix se integra con frameworks de phishing avanzados como Evilginx2, una herramienta de código abierto que actúa como proxy de hombre en el medio (MitM). Evilginx2 captura tokens de sesión y cookies, bypassando MFA al redirigir tráfico a través de dominios legítimos. Los atacantes configuran phishlets (módulos específicos) para servicios como Office 365 o Google Workspace, replicando interfaces de login con precisión pixel-perfecta.
La evolución de ClickFix en esta campaña incluye variantes que usan WebSockets para comunicación en tiempo real con servidores de comando y control (C2). Esto permite a los operadores monitorear interacciones del usuario y ajustar dinámicamente el contenido, como cambiar el dominio de destino si uno es bloqueado por filtros de seguridad. Además, se incorporan técnicas de ofuscación JavaScript, como codificación base64 o minificación, para dificultar el análisis estático por antivirus.
Análisis de Infraestructura y Herramientas Utilizadas
La infraestructura de Evalusion revela un alto grado de profesionalismo. Los dominios maliciosos se registran en registradores como Namecheap o GoDaddy, a menudo con certificados SSL/TLS gratuitos de Let’s Encrypt para aparentar legitimidad. Análisis de WHOIS muestra patrones de registro masivo, con dominios que imitan subdominios reales, como “eval.google-careers[.]com” o “microsoft-hiring[.]test”.
En el backend, se emplean servidores VPS en proveedores como DigitalOcean o AWS, distribuidos geográficamente para redundancia. Estos servidores alojan paneles de administración construidos con PHP y MySQL, donde los atacantes almacenan credenciales robadas. La campaña utiliza kits de phishing comercializados en foros underground, como el “ClickFix Phishing Kit” vendido por unos 500 dólares en mercados de la dark web.
Herramientas clave incluyen:
- Evilginx2: Para captura de sesiones. Configurado con dominios de segundo nivel (SLD) que coinciden con marcas objetivo, permite la inyección de scripts en respuestas HTTP.
- ModSecurity: En el lado del servidor, para filtrar intentos de escaneo de vulnerabilidades por investigadores.
- Google Analytics falsos: Integrados para rastrear tasas de conversión sin alertar a herramientas de detección de anomalías.
- Botnets de correo: Distribución vía SMTP relays comprometidos o servicios como SendGrid abusados, con rotación de IP para evadir listas negras (blacklists) como Spamhaus.
Desde una perspectiva de inteligencia de amenazas, Evalusion muestra similitudes con campañas previas como TA866 (EvilProxy), sugiriendo posible solapamiento de actores. Análisis de muestras de malware asociadas revela hashes SHA-256 únicos, como 0x1a2b3c4d…, reportados en bases de datos como VirusTotal con detecciones del 40% iniciales, que han aumentado al 70% tras actualizaciones de firmas.
Implicaciones Operativas y Riesgos para las Organizaciones
Las implicaciones de Evalusion trascienden el robo individual de credenciales. En entornos corporativos, una sola cuenta comprometida puede llevar a accesos laterales (lateral movement) en redes internas. Por ejemplo, si un empleado de una firma accede al phishing creyendo que es una evaluación para un nuevo rol, los atacantes obtienen tokens para servicios cloud, permitiendo exfiltración de datos sensibles o ransomware deployment.
Riesgos clave incluyen:
- Violación de MFA: ClickFix captura no solo contraseñas, sino códigos OTP (One-Time Password) y push notifications, reduciendo la efectividad de autenticación basada en conocimiento y posesión.
- Impacto financiero: Empresas como las targeted reportan pérdidas promedio de 4.5 millones de dólares por brecha, según el IBM Cost of a Data Breach Report 2023. En América Latina, el costo sube debido a regulaciones como la LGPD en Brasil.
- Riesgos regulatorios: Incumplimiento de estándares como GDPR o NIST 800-53, con multas potenciales. Organizaciones deben reportar incidentes en 72 horas bajo directivas europeas.
- Ataques en cadena: Credenciales robadas se venden en mercados como Genesis Market, facilitando BEC (Business Email Compromise) o ATO (Account Takeover).
En términos de beneficios para los atacantes, Evalusion genera ingresos estimados en cientos de miles de dólares mensuales, monetizados a través de ventas de accesos o servicios de suscripción. Para las víctimas, el impacto psicológico es significativo, exacerbando la fatiga de alertas de seguridad y reduciendo la confianza en procesos de reclutamiento legítimos.
Estrategias de Mitigación y Mejores Prácticas
Para contrarrestar campañas como Evalusion, las organizaciones deben adoptar un enfoque multicapa. En primer lugar, la educación del usuario es fundamental: programas de entrenamiento simulado de phishing, como los ofrecidos por KnowBe4, pueden reducir tasas de clics en un 50%. Incluir módulos específicos sobre técnicas como ClickFix ayuda a reconocer comportamientos anómalos, como ventanas persistentes.
Desde el punto de vista técnico:
- Filtros de correo avanzados: Implementar soluciones como Microsoft Defender for Office 365 o Proofpoint, con reglas para detectar dominios homográficos (IDN homograph attacks) y enlaces acortados sospechosos.
- Monitoreo de sesiones: Usar herramientas como Okta o Duo Security para invalidar sesiones anómalas basadas en geolocalización o user-agent inconsistentes.
- Detección de proxy MitM: Configurar certificate pinning en aplicaciones móviles y web para prevenir Evilginx-like attacks. Estándares como HPKP (HTTP Public Key Pinning), aunque deprecados, inspiran enfoques modernos como Certificate Transparency.
- Análisis de comportamiento: IA-driven UEBA (User and Entity Behavior Analytics) de vendors como Splunk o Darktrace, que detectan patrones como accesos desde IPs no habituales.
En el ámbito regulatorio, las empresas deben alinear con marcos como el CIS Controls v8, priorizando el control 5 (Acceso Seguro) y 13 (Gestión de Datos). Para evaluaciones de empleo, verificar dominios oficiales mediante herramientas como DNS lookups o MX records. Además, colaborar con ISACs (Information Sharing and Analysis Centers) como el FS-ISAC para inteligencia compartida sobre campañas emergentes.
La adopción de zero-trust architecture, como promovido por NIST SP 800-207, minimiza el impacto de brechas al verificar continuamente la confianza. En América Latina, iniciativas como el CERT de la OEA proporcionan recursos locales para reporting y respuesta a incidentes.
Casos de Estudio y Comparaciones con Otras Campañas
Evalusion no opera en aislamiento; comparaciones con campañas similares ilustran tendencias en phishing. Por instancia, la técnica ClickFix se asemeja a la usada en “EvilProxy” por el grupo Scattered Spider, que targeted MGM Resorts en 2023, causando interrupciones operativas. En contraste, Evalusion es más focalizada en reclutamiento, evitando ruido en sectores como hospitality.
Un caso emblemático involucró a un empleado de una firma tech en México, quien accedió a un enlace de “evaluación para Amazon”. El ClickFix capturó credenciales MFA, permitiendo a atacantes acceder a AWS S3 buckets y exfiltrar 10 GB de datos. La respuesta involucró aislamiento de red y rotación de claves, destacando la necesidad de planes IR (Incident Response) robustos.
Otras comparaciones incluyen la campaña TA505, que usaba kits similares pero enfocados en ransomware. Evalusion, sin embargo, prioriza credenciales sobre malware directo, alineándose con el shift hacia ataques de bajo ruido (low-and-slow). Análisis forense revela que el 60% de brechas en 2023 involucraron phishing, según Verizon DBIR, subrayando la urgencia de defensas proactivas.
Avances Tecnológicos y Futuro de las Defensas
La integración de IA en ciberseguridad ofrece promesas contra evoluciones como ClickFix. Modelos de machine learning, como los de Google Cloud Security, analizan patrones de tráfico para detectar proxies anómalos con precisión del 95%. Blockchain-based identity verification, como en sistemas de Self-Sovereign Identity (SSI), podría eliminar dependencias en credenciales centralizadas.
Sin embargo, los atacantes también adoptan IA: generación de correos con GPT-like models para personalización. Esto crea un arms race, donde defensas deben evolucionar hacia predictive analytics. Estándares emergentes como FIDO2 para passkeys reducen la superficie de ataque al eliminar contraseñas, aunque la adopción es lenta en regiones como Latinoamérica.
En resumen, la campaña Evalusion ejemplifica cómo técnicas como ClickFix elevan el phishing a un nivel de ingeniería social avanzada. Las organizaciones deben priorizar la resiliencia mediante capas de defensa, educación continua y colaboración internacional. Para más información, visita la Fuente original.
Finalmente, este análisis subraya la importancia de la vigilancia constante en un ecosistema de amenazas dinámico, donde la innovación defensiva es clave para proteger activos digitales.
