Microsoft tiene divulgado detalles de una nueva versión de la táctica de ingeniería social de ClickFix, en la que los atacantes engañan a los usuarios desprevenidos para que ejecuten comandos que realizan una búsqueda en el Sistema de Nombres de Dominio (DNS) para recuperar la carga útil de la siguiente etapa.

Concretamente, el ataque se basa en el uso del» nslookup «(abreviatura de búsqueda de servidores de nombres ) para ejecutar una búsqueda de DNS personalizada que se activa a través del cuadro de diálogo Ejecutar de Windows.

ClickFix es un técnica cada vez más popular que tradicionalmente se ofrecía mediante esquemas de suplantación de identidad, publicidad maliciosa o descargas automáticas, que a menudo redirigían a los objetivos a páginas de destino falsas que alojan una verificación de CAPTCHA falsa o instrucciones para solucionar un problema inexistente en sus ordenadores mediante la ejecución de un comando a través del cuadro de diálogo Ejecutar de Windows o de la aplicación Terminal de macOS.

El método de ataque se ha generalizado en los últimos dos años, ya que depende de que las víctimas infecten sus propias máquinas con malware, lo que permite a los actores de la amenaza eludir los controles de seguridad. La eficacia de ClickFix ha sido tal que generado varios variantes , como FileFix, JackFix, ConsentFix, CrashFix y GlitchFix.

«En la última versión provisional basada en DNS con ClickFix, el comando inicial se ejecuta en cmd.exe y realiza una búsqueda de DNS en un servidor DNS externo codificado de forma rígida, en lugar de en la resolución predeterminada del sistema», afirma el equipo de Microsoft Threat Intelligence en una serie de publicaciones sobre X. «El resultado se filtra para extraer la respuesta DNS `Nombre: `, que se ejecuta como carga útil de la segunda etapa».

adsense

Microsoft afirma que esta nueva variante de ClickFix utiliza el DNS como un «canal ligero de puesta en escena o señalización», lo que permite al actor de la amenaza llegar a la infraestructura bajo su control y crear una nueva capa de validación antes de ejecutar la carga útil de la segunda etapa.

«El uso del DNS de esta manera reduce la dependencia de las solicitudes web tradicionales y puede ayudar a combinar la actividad maliciosa con el tráfico de red normal», añadió el fabricante de Windows.

La carga útil descargada inicia posteriormente una cadena de ataque que lleva a la descarga de un archivo ZIP desde un servidor externo («azwsappdev [.] com»), del que se extrae y ejecuta un script de Python malintencionado para realizar un reconocimiento, ejecutar comandos de detección y soltar un script de Visual Basic (VBScript) responsable de lanzar ModelOrat, un troyano de acceso remoto basado en Python distribuido anteriormente a través de CrashFix.

Para establecer la persistencia, se crea un archivo de acceso directo de Windows (LNK) que apunta al VBScript en la carpeta de inicio de Windows para que el malware se inicie automáticamente cada vez que se inicie el sistema operativo.

La revelación se produce cuando Bitdefender advirtió de un aumento en Ladrón de luma actividad, impulsada por campañas CAPTCHA falsas al estilo de Clickfix que implementan una versión de AutoIT de Cargador de castillos , un cargador de malware asociado a un actor de amenazas con el nombre en código GrayBravo (anteriormente TAG-150).

CastleLoader incorpora comprobaciones para determinar la presencia de software de virtualización y programas de seguridad específicos antes de descifrar y lanzar el malware ladrón en la memoria. Además de ClickFix, los sitios web que anuncian software descifrado y películas pirateadas sirven de cebo para las cadenas de ataque basadas en CastleLoader, engañando a los usuarios para que descarguen instaladores o ejecutables deshonestos que se hacen pasar por archivos multimedia MP4.

Otras campañas de CastleLoader también han aprovechado sitios web que prometían descargas de software crackeado como punto de partida para distribuir un instalador falso del NSIS que también ejecuta scripts de VBA ofuscados antes de ejecutar el script AutoIt que carga Lumma Stealer. El cargador de VBA está diseñado para ejecutar tareas programadas responsables de garantizar la persistencia.

«A pesar de lo significativo esfuerzos de interrupción de la aplicación de la ley en 2025, las operaciones de Lumma Stealer continuaron, demostrando su resiliencia al migrar rápidamente a nuevos proveedores de alojamiento y adaptar técnicas de carga y entrega alternativas», dijo la empresa rumana de ciberseguridad dijo . «En el centro de muchas de estas campañas se encuentra CastleLoader, que desempeña un papel fundamental a la hora de ayudar a LummaStealer a extenderse a través de las cadenas de entrega».

Curiosamente, uno de los dominios de la infraestructura de CastleLoader («testdomain123123 [.] shop») estaba marcado como un comando y control de Lumma Stealer (C2), lo que indica que los operadores de las dos familias de malware trabajan juntos o comparten proveedores de servicios. La mayoría de las infecciones por el ladrón de lumma se han registrado en la India, seguida de Francia, EE. UU., España, Alemania, Brasil, México, Rumania, Italia y Canadá.

«La eficacia de ClickFix radica en su abuso de la confianza procesal más que en las vulnerabilidades técnicas», afirma Bitdefender. «Las instrucciones se parecen a los pasos de solución de problemas o a las soluciones de verificación que los usuarios pueden haber encontrado anteriormente. Como resultado, las víctimas a menudo no reconocen que están ejecutando código arbitrario manualmente en su propio sistema».

enlaces

CastleLoader no es el único cargador que se utiliza para distribuir Lumma Stealer. Las campañas que ya se habían llevado a cabo en marzo de 2025 se basaron en otro cargador denominado Cargador RenEngine , con el malware propagado bajo la apariencia de trucos de juegos y software pirateado, como el editor de gráficos CorelDRAW. En estos ataques, el cargador deja paso a un cargador secundario llamado Hijack Loader, que luego despliega Lumma Stealer.

De acuerdo con dato de Kaspersky, los ataques de RenEngine Loader han afectado principalmente a usuarios de Rusia, Brasil, Turquía, España, Alemania, México, Argelia, Egipto, Italia y Francia desde marzo de 2025.

Los avances coinciden con la aparición de varias campañas que utilizan señuelos de ingeniería social, incluido ClickFix, para ofrecer una variedad de ladrones y cargadores de malware -

  • Una campaña de macOS que ha utilizado tácticas de suplantación de identidad y publicidad maliciosa para lanzar Odyssey Stealer, un cambio de marca de Poseidon Stealer, que a su vez es una bifurcación de Atomic macOS Stealer ( AMOS ). El ladrón filtra las credenciales y los datos de 203 extensiones de monederos de navegador y 18 aplicaciones de monederos de escritorio para facilitar el robo de criptomonedas.
  • «Más allá del robo de credenciales, Odyssey funciona como un troyano de acceso remoto completo», dijo Censys dijo . «Un LaunchDaemon persistente sondea el C2 cada 60 segundos en busca de comandos, lo que permite la ejecución arbitraria de comandos por shell, la reinfección y un proxy SOCKS5 para canalizar el tráfico a través de las máquinas víctimas».
  • UN Cadena de ataques de ClickFix dirigidos a sistemas Windows que utilizan páginas de verificación CAPTCHA falsas en sitios web legítimos pero comprometidos para engañar a los usuarios para que ejecuten los comandos de PowerShell que implementan el Robar C ladrón de información.
  • Un campaña de phishing por correo electrónico que utiliza un archivo SVG malintencionado contenido en un archivo ZIP protegido con contraseña para indicar a la víctima que ejecute un comando de PowerShell mediante ClickFix, lo que, en última instancia, resulta en la implementación de un robo de información de.NET de código abierto llamado Stealerio .
  • Una campaña que aprovecha la función de compartir en público de servicios de inteligencia artificial (IA) generativa, como Anthropic Claude, para organizar instrucciones maliciosas de ClickFix sobre cómo realizar una variedad de tareas en macOS (por ejemplo, «resolución de DNS en línea») y distribuir estos enlaces a través de resultados patrocinados en motores de búsqueda como Google para implementar Atomic Stealer y MacSync Stealer .
  • Una campaña que dirige a los usuarios que buscan «analizador de espacio en disco macOS cli» a un artículo falso de Medium en el que se hace pasar por el equipo de soporte de Apple para engañarlos y hacerles ejecutar las instrucciones de ClickFix que ofrecen cargas útiles para ladrones de próxima etapa desde un servidor externo «raxelpak [.] com».
  • «El dominio C2 raxelpak [.] com tiene un historial de URL que se remonta a 2021, cuando parecía albergar un sitio de comercio electrónico de ropa de trabajo segura», dijo Moonlock Lab de MacPaw dijo . «No está claro si el dominio fue secuestrado o simplemente caducó y el [actor de la amenaza] lo volvió a registrar, pero se ajusta al patrón más amplio de aprovechar los dominios antiguos con reputación existente para evitar ser detectados».
  • Una variante de la misma campaña que distribuye las instrucciones de ClickFix para supuestamente instalar Homebrew en los enlaces asociados a Claude y Evernote a través de resultados patrocinados para instalar malware robador.
  • «El anuncio muestra un dominio real y reconocido (claude.ai), no un sitio falso o con errores tipográficos», AdGuard dijo . «Al hacer clic en el anuncio, se accede a una página real de Claude, no a una copia de suplantación de identidad. La consecuencia es evidente: Google Ads, una plataforma muy conocida y de confianza, más usuarios técnicos con un alto impacto en la fase final = un potente vector de distribución de malware».
  • Una campaña de suplantación de identidad por correo electrónico en macOS que pide a los destinatarios que descarguen y ejecuten un archivo de AppleScript para solucionar supuestos problemas de compatibilidad, lo que resulta en el despliegue de otro AppleScript diseñado para robar credenciales y recuperar cargas útiles de JavaScript adicionales.
  • «El malware no se concede permisos a sí mismo, sino que falsifica las autorizaciones de TCC para archivos binarios confiables firmados por Apple (Terminal, osascript, editor de scripts y bash) y, a continuación, ejecuta acciones maliciosas a través de estos archivos binarios para heredar sus permisos», Darktrace dijo .
  • UN Campaña ClearFake que emplea señuelos CAPTCHA falsos en sitios de WordPress comprometidos para activar la ejecución de un archivo de aplicación HTML (HTA) e implementar Lumma Stealer. También se sabe que la campaña utiliza inyecciones maliciosas de JavaScript para aprovechar una técnica conocida como EtherHiding para ejecutar un contrato alojado en la cadena inteligente de BNB y obtener una carga desconocida alojada en GitHub.
  • EtherHiding ofrece a los atacantes varias ventajas, ya que permite que el tráfico malicioso se mezcle con la actividad legítima de Web3. Debido a que la cadena de bloques es inmutable y descentralizada, ofrece una mayor resiliencia frente a los esfuerzos de desmantelamiento.

Un análisis reciente publicado por Flare descubrió que los actores de amenazas atacan cada vez más a Apple macOS con herramientas sofisticadas y ladrones de información.

«Casi todos los ladrones de macOS priorizan el robo de criptomonedas por encima de todo», dice la empresa dijo . «Este enfoque láser refleja la realidad económica. Los usuarios de criptomonedas utilizan ordenadores Mac de forma desproporcionada. A menudo tienen un valor significativo en las carteras de software. A diferencia de las cuentas bancarias, las transacciones criptográficas son irreversibles. Una vez que las frases iniciales se ven comprometidas, los fondos desaparecen permanentemente sin ningún recurso».

«La suposición de que «los Mac no reciben virus» no solo está desfasada, sino que es muy peligrosa. Las organizaciones con usuarios de Mac necesitan capacidades de detección para los HTTP específicos de macOS: aplicaciones sin firmar que solicitan contraseñas, actividad inusual en la Terminal, conexiones a nodos de la cadena de bloques con fines no financieros y patrones de filtración de datos dirigidos al almacenamiento mediante llaveros y navegadores».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.