Los investigadores de ciberseguridad han identificado una sofisticada técnica de ingeniería social llamada ClickFix que ha estado ganando rápidamente tracción entre los actores de amenazas desde principios de 2024.
Este método de ataque engañoso se dirige a dispositivos Windows y MacOS, engañando a los usuarios para que ejecute comandos maliciosos a través de procedimientos de solución de problemas técnicos aparentemente legítimos.
La técnica se ha observado en campañas que afectan a miles de dispositivos empresariales y de consumo a nivel mundial a diario, lo que representa una evolución significativa en las tácticas de ingeniería social.
La técnica ClickFix opera presentando a los usuarios mensajes de error falsos, verificaciones de captcha o indicaciones de verificación humana que parecen requerir una acción inmediata para resolver problemas técnicos menores.
La típica cadena de ataque de ClickFix (fuente – Microsoft)
Estos señuelos generalmente se entregan a través de correos electrónicos de phishing, anuncios maliciosos o sitios web comprometidos que redirigen a las víctimas a páginas de destino especialmente elaboradas.
La efectividad del ataque radica en su explotación de la tendencia natural de los usuarios a resolver problemas técnicos aparentes, lo que lo hace particularmente peligroso ya que evita las soluciones de seguridad automatizadas tradicionales a través de la interacción humana.
Analistas de Microsoft identificado Los actores de múltiples amenazas aprovechan los ataques de clickfix para ofrecer una variedad diversa de cargas útiles maliciosas, incluidos el prolífico robador de Lumma InfostEaler, herramientas de acceso remoto como Xworm y Asyncrat, cargadores como Latrodectus y MintsLoader, y Keadkits sofisticados que incluyen una versión modificada del R77 de código abierto.
Estas cargas útiles generalmente funcionan como malware “sin archivo”, cargado directamente en la memoria por los binarios vivos de la tierra en lugar de ser escrita en el disco como archivos ejecutables tradicionales.
La cadena de ataque comienza cuando las víctimas se encuentran con señuelos visuales que imitan servicios legítimos como la verificación del tendencia Cloudflare, Google Recaptcha o incluso plataformas de redes sociales como Discord.
Cuando los usuarios interactúan con estos sistemas de verificación falsos, el código de JavaScript malicioso se ejecuta en segundo plano, copiando comandos ofuscados en el portapapeles del usuario utilizando la función navigator.clipboard.writeText ().
Implementación técnica y ejecución de comandos
El núcleo de la técnica ClickFix gira en torno a la manipulación del cuadro de diálogo Ejecutar Windows, accedido a través de la tecla Windows + R Actual
Los actores de amenaza han elegido estratégicamente este enfoque porque la mayoría de los usuarios no están familiarizados con este componente de Windows y sus posibles implicaciones de seguridad.
Los comandos maliciosos generalmente involucran cmdlets de PowerShell como IWR (Invoke-WebRequest), IRM (Invoke-Restmethod) e IEX (Invoke-Expression) para descargar y ejecutar cargas útiles de servidores remotos.
Cadena de infección de Lampion (Fuente – Microsoft)
Un estudio de caso notable involucra la campaña de malware de Lampion identificada por primera vez en mayo de 2025, cuyas dirigidas a las organizaciones portuguesas en los sectores del gobierno, las finanzas y el transporte.
La campaña utilizó un sofisticado proceso de infección en varias etapas que comenzó con correos electrónicos de phishing que contienen archivos ZIP. Al abrir, estos archivos contenían archivos HTML que redirigieron a los usuarios a un sitio web falso de la Autoridad de Impuestos Portugués que alojaba el señuelo ClickFix.
El comando PowerShell posterior descargó un VBScript ofned ofbuscado que creó scripts adicionales en el directorio de Windows % TEMP % y la persistencia establecida a través de tareas programadas.
La adaptabilidad de la técnica se extiende más allá de los entornos de Windows, con campañas recientes observadas a los usuarios de MacOS para entregar MacOS Atomic MacOS (AMOS).
Estos ataques demuestran las capacidades multiplataforma de la técnica, utilizando tácticas similares de ingeniería social al tiempo que adapta los comandos subyacentes para la ejecución del terminal MACOS.
La variante MACOS empleó mecanismos sofisticados de robo de contraseñas, solicitando continuamente a los usuarios para las contraseñas del sistema y utilizando las credenciales robadas para evitar las características de seguridad de MacOS a través de comandos XATTR -C.
La detección de ataques de ClickFix se basa en monitorear la clave de registro RUNMRU, que mantiene un historial de ejecuciones de diálogo de ejecución.
Los equipos de seguridad pueden identificar actividades sospechosas examinando las entradas que contienen binarios vivos de la tierra, direcciones directas de IP, dominios de red de entrega de contenido o archivos con extensiones sospechosas.
La investigación de Microsoft revela que los actores de amenaza emplean con frecuencia técnicas de ofuscación, incluida la codificación de Base64, la concatenación de cuerdas y los caracteres escapados para evadir los sistemas de detección.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
