Investigadores de seguridad alertan sobre nuevas variantes del ataque ClickFix, una técnica de ingeniería social que induce a usuarios de Windows a ejecutar comandos maliciosos manualmente en el sistema.
La campaña se ha expandido velozmente durante noviembre, aprovechando pantallas falsas que simulan actualizaciones críticas del sistema operativo.
¿Cómo funciona el engaño?
Los actores de amenaza han desarrollado páginas web a pantalla completa que imitan fielmente la interfaz de Windows Update, incluyendo animaciones, mensajes de progreso y alertas urgentes.
El objetivo: convencer al usuario de seguir instrucciones que incluyen:
presionar secuencias de teclas
abrir la consola de comandos
pegar código que ya ha sido copiado automáticamente al portapapeles vía JavaScript
Una vez ejecutado, el código desencadena la instalación del malware.
Carga maliciosa oculta dentro de imágenes
Las últimas investigaciones de Huntress revelan que las nuevas variantes de ClickFix incorporan técnicas avanzadas de esteganografía, ocultando el payload en los píxeles de imágenes PNG.
El proceso incluye múltiples etapas:
ejecución de JavaScript malicioso con mshta.exe
uso de PowerShell para descargar componentes
un ensamblado .NET llamado Stego Loader
extracción del payload desde la imagen mediante AES
reconstrucción del shellcode en memoria
ejecución sin archivos (fileless)
Este enfoque permite evadir antivirus convencionales y reducir los artefactos forenses.
Malware distribuido: LummaC2 y Rhadamanthys
Las campañas analizadas entregan principalmente dos infostealers:
LummaC2
Rhadamanthys
Ambos son conocidos por:
robar credenciales del navegador
extraer wallets de criptomonedas
capturar accesos a servicios cloud
enviar datos a infraestructura criminal
Una campaña muy activa desde octubre
Los investigadores detectaron versiones tempranas de esta campaña a inicios de octubre.
El 13 de noviembre, la operación policial Operation Endgame desmanteló parte de la infraestructura de Rhadamanthys, reduciendo temporalmente la entrega del payload.
Sin embargo, los dominios falsos de actualización continúan activos.
¿Por qué ClickFix es tan efectivo?
Este ataque combina factores peligrosos:
apariencia legítima del sistema
instrucciones técnicas paso a paso
sensación de urgencia
acciones manuales del usuario, difíciles de bloquear
El resultado: engaños altamente convincentes que requieren poca sofisticación técnica por parte de la víctima.
Recomendaciones para organizaciones
Para reducir riesgos, expertos sugieren:
1. Deshabilitar la ventana Ejecutar (Windows Run box)
especialmente en equipos administrativos y de alto riesgo.
2. Monitorear procesos sospechosos
como:
explorer.exe → mshta.exe
explorer.exe → powershell.exe
3. Capacitación continua en ingeniería social
con foco en engaños técnicos avanzados.
4. Revisar clave del registro RunMRU
útil en investigaciones posteriores a incidentes.
Reflexión final
ClickFix demuestra que los atacantes no necesitan explotar una vulnerabilidad: pueden hacer que la víctima ejecute el ataque por ellos.
En un escenario donde las ventanas falsas de actualización pueden instalar robo-información con complejas cargas esteganográficas, el factor humano sigue siendo el vector más poderoso.
