Los atacantes están comprometiendo páginas reales para mostrar falsos controles de seguridad, convenciendo a los usuarios de copiar y pegar comandos maliciosos que desactivan el antivirus e instalan malware avanzado.
La línea entre navegar por un sitio seguro y comprometer toda tu red corporativa se ha reducido a un simple “copiar y pegar”. Hoy 20 de febrero de 2026, que investigadores han descubierto una masiva campaña de malware denominada ClickFix, la cual está desplegando un troyano de acceso remoto (RAT) nunca antes visto: MIMICRAT (también conocido como AstarionRAT).
A diferencia de las campañas de phishing tradicionales que dependen de correos electrónicos, esta operación secuestra el tráfico de sitios web legítimos y altamente confiables para tender su trampa.
La Trampa Psicológica: El Falso Cloudflare
El análisis detalla un flujo de infección brillante y sumamente engañoso. El paciente cero documentado fue bincheck[.]io, un servicio legítimo de validación de tarjetas bancarias.
- La Inyección: Los atacantes vulneraron la página e inyectaron código JavaScript malicioso.
- El Engaño “ClickFix”: Cuando un usuario visita la página, el código carga un script PHP que bloquea la pantalla con una falsa página de verificación de Cloudflare (el típico mensaje de “Verifique que es humano para continuar”).
- El Autohackeo: En lugar de pedirle al usuario que haga clic en semáforos o pasos de cebra, la página le indica que hay un “error en el navegador” y le da instrucciones paso a paso para abrir el cuadro de diálogo Ejecutar de Windows (Win + R), pidiéndole que pegue un comando aparentemente inofensivo para “solucionar el problema”.
De un Clic a la Toma de Control Total
Si la víctima cae en la trampa y ejecuta el comando, desata una reacción en cadena devastadora:
- Evasión de Defensas: El código inicial es un comando de PowerShell que se conecta a un servidor de Comando y Control (C2) para descargar un segundo script. Este segundo paso se encarga de “cegar” a Windows: desactiva el registro de eventos (ETW) y el escáner antimalware nativo (AMSI).
- El Cargador Lua: Una vez que el antivirus no está mirando, se descarga un cargador basado en el lenguaje Lua.
- El Payload (MIMICRAT): Finalmente, el script Lua descifra en la memoria el troyano MIMICRAT, escrito en C++.
Este troyano es una herramienta de post-explotación formidable. Se comunica en secreto a través del puerto HTTPS 443 (camuflando su tráfico como si fueran simples métricas web) y cuenta con 22 comandos distintos que le permiten al atacante abrir túneles proxy (SOCKS5), suplantar tokens de Windows, inyectar código y controlar el sistema de archivos. El objetivo final, según los investigadores, es el robo masivo de datos o el despliegue de Ransomware.
Alcance Global y Personalizado
La campaña ClickFix no escatima en esfuerzos para parecer convincente. Los investigadores descubrieron que el sistema de engaño soporta 17 idiomas diferentes, detectando automáticamente el idioma del navegador de la víctima para mostrarle las instrucciones de “copiar y pegar” en su lengua materna. Se han reportado infecciones desde usuarios en foros de habla china hasta universidades en Estados Unidos, lo que demuestra que se trata de una red de pesca oportunista y global.
El consejo de oro para los usuarios: Un sitio web legítimo, ya sea Cloudflare, tu banco o un verificador de tarjetas, jamás te pedirá que abras la consola de comandos o la ventana de “Ejecutar” de Windows para copiar código y verificar tu identidad.
