Según informes independientes de Morphisec, BlueVoyant y Huntress, los investigadores de ciberseguridad detectaron múltiples campañas de ClickFix que distribuían tres cargadores de malware llamados BabaDeda Loader, Lorem Ipsum Loader y Potemkin, respectivamente.
Los ataques que involucraron a BabaDeda Loader observados en abril de 2026 tuvieron como objetivo instituciones educativas y financieras.
«Las operaciones anteriores de Babadeda eran conocidas por ocultar cargas útiles maliciosas dentro de paquetes de instalación de apariencia legítima», dijo el investigador de Morphisec Shmuel Uzan. «Este nuevo marco conserva el mismo genoma del código, pero lo extiende a un cargador mucho más capaz creado teniendo en cuenta el sigilo, la evasión y la flexibilidad de la carga útil».
El punto de partida del ataque es el ataque de ingeniería social ClickFix, que engaña al usuario para que ejecute un comando de PowerShell proporcionado por el atacante para distribuir el cargador. Luego, este cargador se utiliza para eliminar ladrones de información y troyanos de acceso remoto (RAT) utilizando una combinación de técnicas bien conocidas, como PowerShell oculto, código shell en memoria, descarga de archivos DLL y almacenamiento de carga útil externo.
Se cree que esta actividad es realizada por el servicio criptográfico BabaDeda, que fue documentado por primera vez por Morphisec en noviembre de 2021 en relación con una campaña dirigida a los sectores de criptomonedas y Web3 para distribuir ladrones de información, RAT y ransomware LockBit.
El cargador está diseñado para perfilar el host, evitar la ejecución en sistemas rusos o bielorrusos y realizar comprobaciones relacionadas con el producto de seguridad antes de recuperar la carga útil principal e inyectarla en un proceso confiable de Windows como ‘svchost.exe’.
Una de las familias de malware entregadas a través de BabaDeda Loader es una puerta trasera .NET y un ladrón de información que puede recopilar datos confidenciales y establecer un canal cifrado hacia un servidor de comando y control (C2). Este malware admite una amplia gama de funciones, que incluyen:
Recopile información detallada del sistema Descubra perfiles de navegador instalados Extraiga artefactos del navegador como cookies, historial de navegación, credenciales guardadas, preferencias y claves de cifrado de estado local Recorra directorios y seleccione archivos según reglas configurables Lea y extraiga contenidos de archivos Capture capturas de pantalla y muestre información Ejecute comandos de shell o procesos externos y recopile resultados Envíe datos al servidor C2 Nativo para procesar interacciones, operaciones de memoria, acceso a DPAPI, reiniciar el comportamiento del administrador y archivos avanzados Uso del acceso API de Windows
La segunda cadena de ataque arroja un archivo ZIP que utiliza la descarga de DLL para iniciar DanaBot y SectopRAT (también conocido como ArechClient). Lo notable de estos ataques es el uso de un componente de carga por etapas llamado Storage Crypter, que lee material de carga útil de archivos similares a almacenamiento externo, como ‘List.Control.dat’.
«Si bien el paquete de aplicación visible parece legítimo, la carga maliciosa permanece oculta dentro de un contenedor almacenado externamente y se decodifica justo antes de la ejecución», dijo Morfisek. «Este diseño minimiza la visibilidad forense, complica el análisis automatizado y reduce la oportunidad de que las herramientas de seguridad tradicionales identifiquen actividades maliciosas antes de que se ejecuten».
Este hallazgo representa una evolución de los marcos de carga modernos, que son cada vez más modulares, con entrega, almacenamiento, ejecución e implementación de carga útil separados en componentes separados, en lugar de depender de una única entidad monolítica.
Cargador ClickFix Chain Drop Lorem Ipsum
La técnica Click Fix también se ha observado en una campaña activa que utiliza al menos cinco sitios de WordPress comprometidos como punto de partida para distribuir un cargador inicial y una puerta trasera con nombre en código Lorem Ipsum Loader. Los sitios web pirateados abarcan múltiples sectores, incluidos la arquitectura, los servicios legales y la tecnología de la construcción.
Este ataque marca un cambio con respecto a campañas oportunistas anteriores que utilizaban instaladores troyanizados de Microsoft Teams a través de portales de descarga falsos promovidos mediante envenenamiento de SEO y publicidad maliciosa. Se cree que este cargador ha estado activo en estado salvaje desde febrero de 2026.
«El cambio a los señuelos ClickFix alojados en sitios comprometidos de WordPress (WP) amplía significativamente el grupo de víctimas potenciales y demuestra la voluntad de los operadores de adaptar rápidamente las técnicas de acceso temprano», dijeron los investigadores de BlueVoyant Thomas Elkins y Joshua Green.
Se cree que el cambio en el mecanismo de entrega se debe a la reciente frustración por parte de Microsoft de Fox Tempest (también conocido como Forging Marauder), un actor de amenazas que anuncia una operación de firma de malware como servicio (MSaaS) que utiliza certificados Microsoft Trusted Signing firmados fraudulentamente para entregar malware sin generar ninguna señal de alerta.
«La pérdida de suministro de certificados hizo que los modelos de entrega de instaladores firmados previamente fueran inviables, lo que obligó a los operadores a adoptar mecanismos de entrega que eliminan la firma de código por completo», agregaron los investigadores.
El grupo de actividades de amenazas es el ejemplo más reciente de cómo los atacantes pueden recuperarse fácilmente y adaptarse a modelos de entrega alternativos, a pesar de los continuos esfuerzos de los defensores y las fuerzas del orden para desmantelar la actividad.
Tenemos gran confianza en que el ecosistema de Lorem Ipsum es obra de un atacante con motivación financiera conocido como Vanilla Tempest (también conocido como Rapid Brigantine, Vice Society y Vice Spider), conocido por implementar familias de ransomware como Rhysida, BlackCat, Zeppelin y Quantum Locker.
La secuencia de ataque que distribuye Lorem Ipsum Loader aprovecha una actualización de seguridad del navegador web Edge estilo ClickFix para ejecutar un comando malicioso que descarga un archivo ZIP y una versión anterior de Node.js (versión 7.10.1) lanzada en 2017, y ejecuta una carga útil basada en JavaScript presente dentro del archivo con mínima posibilidad de detección.
La carga útil de JavaScript actúa como un cuentagotas para implementar y ejecutar componentes de malware adicionales en el sistema infectado. Esto incluye un script por lotes que inicia una cadena de descarga de DLL que ejecuta una DLL maliciosa (‘mscoree.dll’ o ‘msvcp140.dll’) para establecer la persistencia. Esto decodificará la carga útil integrada de Lorem Ipsum Loader.
«Lorem Ipsum Loader está diseñado para recuperar puertas traseras Lorem Ipsum de la siguiente etapa de la infraestructura C2 obtenida de perfiles controlados por atacantes alojados en plataformas de redes sociales», dijo BlueVoyant, y agregó que la puerta trasera incluye la capacidad de ejecutar cargas útiles de la siguiente etapa recibidas de los servidores C2.
«La cadena Lorem Ipsum culmina en una transferencia a herramientas posteriores a la explotación establecidas por Rapid Brigantine y, en última instancia, a implementaciones documentadas de ransomware (principalmente Rhysida)».
Potemkin, RMMProject y EtherRAT están disponibles a través de ClickFix
La tercera campaña que se basa en ClickFix es una cadena de ataque sofisticada que instala un paquete MSI y suelta un cargador previamente indocumentado con nombre en código Potemkin a través de una carga útil de aplicación HTML (HTA). Este cargador actúa como un conducto entre EtherRAT y RMMProject. RMMProject es una DLL programable en Lua con módulos que permiten el control remoto de la pantalla y el robo de credenciales del navegador evitando la protección App-Bound Encryption (ABE) de Chromium.
RMMProject también implementa un mecanismo de distribución de tareas que ejecuta archivos o procesos, toma capturas de pantalla, absorbe datos de autocompletar del navegador, ejecuta scripts Lua arbitrarios, finaliza procesos del navegador y descarga y ejecuta módulos adicionales desde URL en tiempo de ejecución.
El cargador Potemkin es un «cargador x64 personalizado que utiliza un algoritmo de generación de dominio para localizar el C2 y cargar de forma reflexiva los módulos posteriores en la memoria», dijeron los investigadores de Huntress Anna Pham y Zach Rogers. Esta actividad fue detectada por un proveedor de seguridad el mes pasado.
Este cargador admite una variedad de componentes funcionalmente distintos que manejan todo el ciclo de vida, detección de C2 impulsada por DGA utilizando un diccionario incorporado de 1000 palabras, identificación de víctimas a través de un valor UUID único escrito en ‘%LOCALAPPDATA%\hyper-v.ver’, sondeo de tareas, recuperación y ejecución de DLL y cifrados de bytes personalizados para proteger las comunicaciones C2 y el diccionario DGA.
Una vez que se estableció el acceso, se dice que el atacante desconocido llevó a cabo actividades controladas por teclado configurando exclusiones de Microsoft Defender, implementando túneles SOCKS inversos de Chisel, realizando reconocimientos adicionales, configurando túneles de Cloudflare para acceso persistente, propagándose lateralmente a través de WMIExec y SMBExec para llegar a los controladores de dominio y propagando EtherRAT a más de 11 hosts.
ClickFix sigue siendo una tecnología permanente
Este descubrimiento se produce mientras ClickFix sigue siendo una forma eficaz de atacar a los usuarios de Windows y macOS con pantallas de verificación de bots fraudulentas que entregan cargas maliciosas como el ladrón de información de macOS Phexia Stealer y puertas traseras entregadas a través de EtherHiding que pueden ejecutar archivos obtenidos de un C2 e informar los resultados.
La campaña ClickFix aprovechó el creciente interés en las herramientas de inteligencia artificial (IA) mediante la distribución de instaladores MSI falsos que permitieron a Claude ejecutar cargas útiles de PowerShell.
«ClickFix sigue siendo eficaz por una sencilla razón: explota la naturaleza humana. Cuando a las personas se les presentan instrucciones claras y de apariencia autorizada (‘Presione Win+R, pegue esto, presione Entrar’), naturalmente siguen las instrucciones», dijeron los investigadores de Huntress. «La ingeniería social no tiene que ser sofisticada; sólo tiene que parecer un paso legítimo para solucionar problemas, y eso suele ser suficiente».
Dados los riesgos que plantea pegar comandos de sitios web (o agentes de chat, aplicaciones de mensajería o aplicaciones de correo electrónico) en la aplicación Terminal, Apple introdujo una nueva ventana emergente de seguridad en macOS Tahoe 26.4 que advierte a los usuarios de Mac que intentan hacerlo.
«Los estafadores están utilizando estos canales para instruir a las personas a pegar comandos maliciosos en la Terminal para dañar su Mac o violar su privacidad», dijo Apple en un documento de soporte publicado esta semana. «Esta alerta le ayuda a evitar que lo engañen para que ejecute comandos inesperados».
Source link
