ICLICKER Site Hack Estudiantes dirigidos con malware a través de Fake Captcha

El sitio web de ICLicker, una popular plataforma de participación de estudiantes, se vio comprometido en un ataque de ClickFix que utilizó un aviso de captcha falso para engañar a los estudiantes e instructores para que instalaran malware en sus dispositivos.

ICLICKER es una subsidiaria de MacMillan y es una herramienta digital en el aula que permite a los instructores asumir la asistencia, hacer preguntas o encuestas en vivo, y rastrear la participación de los estudiantes. Es ampliamente utilizado por 5,000 instructores y 7 millones de estudiantes en colegios y universidades de los Estados Unidos, incluida la Universidad de Michigan, la Universidad de Florida y las universidades de California.

Según una alerta de seguridad del Equipo de computación seguro de la Universidad de Michiganel sitio de ICLicker fue pirateado entre el 12 de abril y el 16 de abril de 2025, para mostrar una captcha falsa que instruyó a los usuarios a presionar «No soy un robot» que se verifique a sí mismos.

Sin embargo, cuando los visitantes hicieron clic en el mensaje de verificación, un script de PowerShell se copió en silencio en el portapapeles de Windows en lo que se conoce como un ataque de ingeniería social «ClickFix».

El Captcha luego instruiría a los usuarios que abran el diálogo Run Windows (WIN + R), pegaría el script de PowerShell (Ctrl + V) y lo ejecutaron presionando presionando Ingresar para verificarse a sí mismos.

Mientras que el ataque de clickFix ya no se ejecuta en el sitio de iclicker, una persona en Reddit lanzado el comando en Any.runrevelando la carga útil de PowerShell que se ejecuta.

El comando PowerShell utilizado en el ataque de ICLicker fue muy ofuscado, pero cuando se ejecutó, se conectaría a un servidor remoto en http: //67.217.228[.]14: 8080 para recuperar otro script de PowerShell que se ejecutaría.

Desafortunadamente, no se sabe qué malware se instaló en última instancia, ya que el script de PowerShell recuperado era diferente dependiendo del tipo de visitante.

Para los visitantes específicos, enviaría un script que descarga malware a la computadora. La Universidad de Michigan dice que el malware permitió al actor de amenaza tener acceso completo al dispositivo infectado.

Para aquellos que no fueron atacados, como las cajas de arena de análisis de malware, el script descargaría y ejecutaría el legítimo Microsoft Visual C ++ Redistributable, como se muestra a continuación.

iwr https://download.microsoft.com/download/9/3/f/93fcf1e7-e6a4-478b-96e7-d4b285925b00/vc_redist.x64.exe -out "$env:TMP/vc_redist.x64.exe"; & "$env:TMP/vc_redist.x64.exe"

Los ataques de clickfix se han convertido en ataques de ingeniería social generalizados que se han utilizado en numerosas campañas de malware, incluidas las que pretenden ser Capitcha de Cloudflare, Google se encuentray Errores del navegador web.

De las campañas pasadas, el ataque probablemente distribuyó un infoptealer, que puede robar cookies, credenciales, contraseñas, tarjetas de crédito e historial de navegación de Google Chrome, Microsoft Edge, Mozilla Firefox y otros navegadores de Chromium.

Este tipo de malware también puede robar billeteras de criptomonedas, claves privadas y archivos de texto que probablemente contengan información confidencialcomo los llamados SEED.txt, pass.txt, ledger.txt, trezor.txt, metamask.txt, bitcoin.txt, words, wallet.txt, *.txt y *.pdf.

Estos datos se recopilan en un archivo y se envían de vuelta al atacante, donde pueden usar la información en ataques adicionales o venderla en los mercados de cibercrimen.

Los datos robados también se pueden utilizar para realizar violaciones en la escala panorámica que conducen a ataques de ransomware. Como el ataque dirigió a estudiantes e instructores universitarios, el objetivo podría haber sido robar credenciales para realizar ataques a las redes universitarias.

BleepingComuter contactó a MacMillan varias veces con preguntas sobre este ataque esta semana, pero no respondió a nuestras preguntas.

Sin embargo, BleepingComuter luego descubrió que IClicker publicó un boletín de seguridad en su sitio web el 6 de mayo, pero incluía un Etiquete el HTML de la página, evitando que el documento sea indexado por los motores de búsqueda y, por lo tanto, hace que sea más difícil encontrar información sobre el incidente.

«Recientemente resolvimos un incidente que afecta la página de destino de ICLicker (iClicker.com). Es importante aún, no se han afectado los datos, aplicaciones u operaciones de ICLicker y se ha resuelto la vulnerabilidad identificada en la página de destino de ICLicker», se lee «, se lee en lectura. Boletín de seguridad de iClicker.

«Lo que sucedió: un tercero no relacionado colocó a un Captcha falso en nuestra página de destino de ICLicker antes de que los usuarios registraran a ICLicker en nuestro sitio web. Este tercero esperaba que los usuarios hicieran clic en el Captcha falso similar a lo que desafortunadamente experimentamos con bastante frecuencia en los correos electrónicos de phishing en estos días».

«Por precaución, recomendamos que cualquier facultad o estudiante que se encontrara y haya hecho clic en el falso captcha del 12 al 16 de abril en nuestro sitio web, ejecute software de seguridad para garantizar que sus dispositivos permanezcan protegidos».

Los usuarios que accedieron a iClicker.com mientras el sitio fue pirateado y siguieron las instrucciones falsas de Captcha deberían cambiar inmediatamente su contraseña de Iclicker, y si el comando se ejecutó, cambie todas las contraseñas almacenadas en su computadora a una única para cada sitio.

Para ayudar con esto, se sugiere que use un Administrador de contraseñas como BitWarden o 1Password.

Es importante tener en cuenta que los usuarios que accedieron a iClicker a través de la aplicación móvil o no se encontraron con la captcha falsa no están en riesgo del ataque.