Un nuevo informe de inteligencia de amenazas ha revelado una evolución peligrosa en el grupo cibercriminal rastreado como Storm-0249. Históricamente, este grupo actuaba como un “Initial Access Broker” (alguien que hackea una empresa y vende la entrada a otros). Ahora, han decidido eliminar al intermediario y ejecutar sus propios ataques de ransomware.
Lo más preocupante es su nueva táctica de infección, conocida como ClickFix, que se aprovecha de la fatiga y la confianza del usuario.
¿Qué es la táctica “ClickFix”?
En lugar de enviarte un archivo adjunto infectado (que tu antivirus probablemente bloquearía), Storm-0249 te muestra una ventana emergente falsa en el navegador que simula un error de Windows, Google Chrome o Microsoft Teams.
El mensaje te dice algo como: “Error de visualización. Para solucionarlo, abra PowerShell y pegue el siguiente código…”. Increíblemente, muchas víctimas caen en la trampa. Copian el comando malicioso (que se presenta como una “solución técnica”) y lo pegan manualmente en la terminal de Windows.
La Cadena de Infección
- El Engaño: El usuario ejecuta el comando pensando que está arreglando un problema.
- Fileless Malware: El comando descarga y ejecuta scripts de PowerShell directamente en la memoria (sin tocar el disco duro), lo que lo hace invisible para muchos antivirus tradicionales.
- DLL Side-Loading: Utilizan programas legítimos (en este caso, han sido vistos abusando de componentes de SentinelOne y Microsoft) para cargar bibliotecas maliciosas y ganar persistencia.
- El Resultado: El grupo despliega ransomware en la red corporativa en cuestión de horas.
La ingeniería social de “Hazlo tú mismo”
Los atacantes saben que los sistemas de seguridad bloquean descargas automáticas. Pero no pueden bloquear al usuario. La técnica ClickFix es brillante porque convierte a la víctima en cómplice. Al pedirle al usuario que abra manualmente la terminal y pegue el código, el sistema operativo asume que es una acción legítima y autorizada por el administrador (tú), saltándose múltiples capas de defensa.
El abuso de la confianza visual
Storm-0249 está falsificando dominios para que parezcan de Microsoft o Google (ej sgcipl[.]com/us.microsoft.com), lo que refuerza la ilusión de que estás siguiendo instrucciones oficiales de soporte técnico.
Recomendaciones
- Regla de Oro: Ningún soporte técnico legítimo (Microsoft, Google, Apple) te pedirá jamás que copies y pegues un código extraño en una pantalla negra (PowerShell/CMD). Si una web te pide hacer esto, cierra la pestaña inmediatamente.
- Bloqueo de PowerShell: Los administradores de sistemas deben restringir quién puede ejecutar PowerShell en la empresa. Los usuarios de finanzas o recursos humanos rara vez necesitan acceso a esta herramienta.
- Educación: Muestra a tus empleados ejemplos de estas pantallas de “Error Falso”. La concienciación visual es la mejor defensa contra ClickFix.
