Microsoft ha revelado detalles de una nueva versión de su táctica de ingeniería social ClickFix en la que los atacantes engañan a usuarios desprevenidos para que ejecuten un comando que realiza una búsqueda en el sistema de nombres de dominio (DNS) para recuperar la carga útil de la siguiente etapa.
Específicamente, el ataque se basa en el uso del comando «nslookup» (abreviatura de búsqueda de servidor de nombres) para realizar una búsqueda de DNS personalizada que se activa a través del cuadro de diálogo Ejecutar de Windows.
ClickFix es una técnica cada vez más popular que se entrega tradicionalmente mediante phishing, publicidad maliciosa o esquemas de descarga no autorizada, a menudo mediante la ejecución de comandos a través del cuadro de diálogo Ejecutar de Windows o la aplicación Terminal de macOS, que redirige a los objetivos a páginas de destino falsas que albergan verificaciones CAPTCHA falsas o instrucciones para abordar problemas que no existen en sus computadoras.
Este método de ataque se ha vuelto popular en los últimos dos años porque se basa en que las víctimas infecten sus máquinas con malware, lo que permite a los atacantes eludir los controles de seguridad. ClickFix ha sido tan efectivo que ha generado varias variantes, incluidas FileFix, JackFix, ConsentFix, CrashFix y GlitchFix.
«En la preparación moderna basada en DNS con ClickFix, el primer comando se ejecuta a través de cmd.exe y realiza una búsqueda de DNS en un servidor DNS externo codificado en lugar del solucionador predeterminado del sistema», dijo el equipo de Microsoft Threat Intelligence en una serie de publicaciones sobre X. «La salida se filtra para extraer la respuesta DNS ‘Nombre:’, que luego se ejecuta como carga útil de la segunda etapa».
Microsoft dice que esta nueva variación de ClickFix utiliza DNS como un «canal de señalización o preparación liviano» que permite a los actores de amenazas llegar a la infraestructura que controlan, así como construir una nueva capa de validación antes de ejecutar cargas útiles de segunda etapa.
«El uso de DNS de esta manera reduce la dependencia de las solicitudes web tradicionales y permite que la actividad maliciosa se mezcle con el tráfico normal de la red», añadió el fabricante de Windows.
La carga útil descargada luego inicia una cadena de ataque que conduce a la descarga de un archivo ZIP desde un servidor externo (‘azwsappdev(.)com’). A partir de ahí, se extrae y ejecuta un script Python malicioso para realizar reconocimiento, ejecutar comandos de detección y soltar un script Visual Basic (VBScript) que inicia ModeloRAT, un troyano de acceso remoto basado en Python distribuido previamente a través de CrashFix.
Para establecer la persistencia, se crea un archivo de acceso directo de Windows (LNK) que apunta a VBScript en la carpeta de inicio de Windows y el malware se inicia automáticamente cada vez que se inicia el sistema operativo.
La divulgación se produce cuando Bitdefender advierte sobre un aumento en la actividad de Lumma Stealer impulsado por campañas CAPTCHA falsas estilo ClickFix que implementan una versión AutoIt de CastleLoader, un cargador de malware asociado con un actor de amenazas con nombre en código GrayBravo (anteriormente TAG-150).
CastleLoader tiene comprobaciones integradas para verificar la presencia de software de virtualización y ciertos programas de seguridad antes de descifrar y lanzar malware ladrón en la memoria. Fuera de ClickFix, los sitios web que promocionan software crackeado y películas pirateadas sirven como cebo para cadenas de ataques basadas en CastleLoader, engañando a los usuarios para que descarguen instaladores maliciosos y archivos ejecutables disfrazados de archivos multimedia MP4.
Otras campañas de CastleLoader utilizaron sitios web que prometían descargas de software crackeado como trampolín para distribuir instaladores NSIS falsos que también ejecutaban scripts VBA ofuscados antes de ejecutar un script AutoIt para cargar Lumma Stealer. El cargador VBA está diseñado para realizar tareas programadas que garantizan la persistencia.
«A pesar del extenso sabotaje policial en 2025, las operaciones de Lumma Stealer continuaron y demostraron resiliencia al migrar rápidamente a un nuevo proveedor de alojamiento y adaptar cargadores y técnicas de entrega alternativos», dijo la firma rumana de ciberseguridad. «En el centro de muchas de estas campañas se encuentra CastleLoader, que desempeña un papel central a la hora de ayudar a que LummaStealer se propague a través de la cadena de distribución».
Curiosamente, uno de los dominios en la infraestructura de CastleLoader (‘testdomain123123(.)shop’) fue marcado como comando y control (C2) de Lumma Stealer, lo que indica que los operadores de las dos familias de malware están trabajando juntos o compartiendo un proveedor de servicios. La mayoría de las infecciones por Luma Stealer se han registrado en la India, seguida de Francia, Estados Unidos, España, Alemania, Brasil, México, Rumania, Italia y Canadá.
«La efectividad de ClickFix radica en su explotación de la confiabilidad de los procedimientos, no de las vulnerabilidades técnicas», dijo Bitdefender. «Las instrucciones se parecen a los pasos de solución de problemas y soluciones de validación que los usuarios pueden haber encontrado antes. Como resultado, las víctimas a menudo no son conscientes de que están ejecutando manualmente código arbitrario en sus sistemas».
CastleLoader no es el único cargador utilizado para distribuir Lumma Stealer. Las campañas observadas ya en marzo de 2025 utilizaron otro cargador llamado RenEngine Loader, que propagaba malware bajo la apariencia de trucos de juegos y software pirateado como el editor de gráficos CorelDRAW. En estos ataques, el cargador implementa Lumma Stealer en nombre de un cargador secundario llamado Hijack Loader.
Según datos de Kaspersky, el ataque RenEngine Loader ha afectado principalmente a usuarios de Rusia, Brasil, Turquía, España, Alemania, México, Argelia, Egipto, Italia y Francia desde marzo de 2025.
Este desarrollo coincide con la aparición de varias campañas que utilizan señuelos de ingeniería social como ClickFix para generar varios ladrones y cargadores de malware.
Una campaña de macOS que utiliza estrategias de phishing y publicidad maliciosa para ofrecer Odyssey Stealer, un cambio de marca de Poseidon Stealer. Es en sí mismo una bifurcación de Atomic macOS Stealer (AMOS). El ladrón roba credenciales y datos de 203 extensiones de billetera del navegador y 18 aplicaciones de billetera de escritorio para facilitar el robo de criptomonedas. «Más allá del robo de credenciales, Odyssey opera como un completo troyano de acceso remoto», afirmó Censys. «El persistente LaunchDaemon sondea el C2 cada 60 segundos en busca de comandos y admite proxies SOCKS5 para la ejecución arbitraria de shell, reinfección y canalización del tráfico a través de la máquina víctima». Cadena de ataque ClickFix dirigida a sistemas Windows. Utiliza una página de verificación CAPTCHA falsa en un sitio web legítimo para engañar a los usuarios para que ejecuten un comando de PowerShell que implementa el ladrón de información StealC. Una campaña de phishing por correo electrónico que utiliza un archivo SVG malicioso contenido en un archivo ZIP protegido con contraseña para indicar a las víctimas que ejecuten comandos de PowerShell usando ClickFix. Finalmente, se implementará un ladrón de información .NET de código abierto llamado Stealerium. Campañas que implementan Atomic Stealer y MacSync Stealer abusando de las capacidades de intercambio público de servicios de inteligencia artificial (IA) generativa, como Anthropic Claude, para presentar instrucciones maliciosas de ClickFix sobre cómo realizar diversas tareas en macOS (como un «resolvedor de DNS en línea») y distribuir estos enlaces a través de resultados patrocinados en motores de búsqueda como Google. Una campaña que dirigía a los usuarios que buscaban «analizador de espacio en disco CLI de macOS» a un artículo falso de Medium que se hacía pasar por el equipo de soporte de Apple, engañando a los usuarios para que ejecutaran una instrucción ClickFix que entregaba la carga útil del ladrón de la siguiente etapa desde un servidor externo «raxelpak(.)com». «El historial de URL del dominio C2 raxelpak(.)com se remonta a 2021 y parecía albergar un sitio de comercio electrónico para ropa de trabajo de seguridad», dijo Moonlock Lab de MacPaw. «No está claro si el dominio fue secuestrado o simplemente expiró y volvió a registrarse por[los actores de amenazas]pero esto encaja en un patrón más amplio de aprovechar dominios más antiguos con reputaciones existentes para evadir la detección». Una variación de la misma campaña sigue las instrucciones de ClickFix que parecen instalar Homebrew en enlaces asociados con Claude y Evernote a través de resultados patrocinados, instalando malware ladrón. «Este anuncio muestra un dominio genuino y reconocido (claude.ai), no un sitio tipográfico o falsificado», dijo AdGuard. «Al hacer clic en un anuncio, se accede a una página genuina y comprometida, no a una copia de phishing. El resultado es claro: Google Ads + una plataforma conocida y confiable + usuarios técnicos con un impacto posterior significativo = un poderoso vector de distribución de malware». Campaña de phishing por correo electrónico de macOS que solicita a los destinatarios que descarguen y ejecuten un archivo AppleScript para solucionar supuestos problemas de compatibilidad. Esto da como resultado la implementación de otro AppleScript diseñado para robar credenciales y obtener cargas útiles de JavaScript adicionales. «En lugar de otorgarse privilegios a sí mismo, este malware falsifica privilegios TCC en binarios confiables firmados por Apple (Terminal, osascript, editor de scripts, bash) y realiza acciones maliciosas a través de estos binarios para heredar privilegios», dijo Darktrace. La campaña ClearFake utiliza un señuelo CAPTCHA falso en un sitio de WordPress comprometido para activar la ejecución de un archivo de aplicación HTML (HTA) e implementar Lumma Stealer. También se sabe que la campaña aprovecha una técnica conocida como EtherHiding que utiliza una inyección maliciosa de JavaScript para ejecutar contratos alojados en la cadena inteligente BNB y obtener cargas útiles desconocidas alojadas en GitHub. EtherHiding ofrece varias ventajas a los atacantes, permitiendo que el tráfico malicioso se mezcle con la actividad legítima de Web3. Las cadenas de bloques son inmutables y descentralizadas, lo que las hace más resistentes ante los esfuerzos de eliminación.
Un análisis reciente publicado por Flare encontró que los actores de amenazas se dirigen cada vez más a Apple macOS mediante el robo de información y herramientas sofisticadas.
«Casi todos los ladrones de macOS priorizan el robo de criptomonedas por encima de todo», dijo la compañía. «Este enfoque láser refleja una realidad económica: los usuarios de criptomonedas usan desproporcionadamente Mac, que a menudo tienen un valor significativo en carteras de software. A diferencia de las cuentas bancarias, las transacciones de criptomonedas son irreversibles. Una vez que una frase inicial se ve comprometida, los fondos desaparecen irremediablemente para siempre».
«La suposición de que ‘las Mac están libres de virus’ no sólo está desactualizada, sino que en realidad es peligrosa. Las organizaciones con usuarios de Mac necesitan capacidades de detección para TTP específicos de macOS, como aplicaciones no firmadas que solicitan contraseñas, actividad terminal anómala, conexiones a nodos de blockchain para fines no financieros y patrones de fuga de datos dirigidos al almacenamiento en llaveros o navegadores».
Source link
