Una nueva campaña maliciosa ha puesto en evidencia cómo los ataques ClickFix están evolucionando rápidamente y ampliando su alcance. Originalmente dirigidos a sistemas Windows mediante scripts de PowerShell que facilitaban infecciones con malware espía y ransomware, esta técnica ha comenzado a apuntar también a usuarios de Linux y macOS. En estos ataques, los ciberdelincuentes utilizan mensajes de error falsos (como supuestos fallos de Google Meet) o pantallas de verificación simuladas para inducir a las víctimas a ejecutar comandos en la terminal.
ClickFix no se basa en vulnerabilidades técnicas del sistema, sino en algo mucho más humano: la confianza. Mediante tácticas de ingeniería social, los atacantes manipulan al usuario para que ejecute scripts que parecen legítimos, pero que ocultan malware diseñado para comprometer el sistema. Incluso los entornos considerados más seguros, como Linux, no están exentos.
Hace poco, investigadores de Hunt.io detectaron una nueva campaña que marca un giro interesante: por primera vez, los ataques ClickFix están siendo adaptados para sistemas Linux. Esta campaña, atribuida al grupo de amenazas APT36 (también conocido como Transparent Tribe y vinculado a Pakistán), usa un sitio web falso que se hace pasar por el Ministerio de Defensa de la India. El sitio incluye un enlace a lo que parece ser un comunicado de prensa oficial, pero en realidad, es una trampa diseñada para engañar a los usuarios y hacer que ejecuten comandos maliciosos en sus equipos.
Sitio web malicioso que imita al Ministerio de Defensa de la India
Cuando alguien hace clic en el enlace del sitio falso, el sitio analiza automáticamente qué sistema operativo está usando y los lleva por el camino de ataque que mejor se ajusta.
Si estás en Windows, lo que aparece es una página en pantalla completa con una advertencia sobre derechos de uso limitados. Nada demasiado extraño a primera vista. Pero si haces clic en "Continuar", se ejecuta un JavaScript que copia automáticamente un comando malicioso al portapapeles. La víctima, sin sospechar, solo tiene que pegarlo en la terminal y ejecutarlo. Con eso, ya se inicia un loader en .NET que se conecta directamente con los servidores del atacante. Todo esto, mientras se muestra un archivo PDF de aspecto oficial para no levantar sospechas.
En Linux, la táctica es un poco distinta pero igual de engañosa. Redirigen al usuario a una página con un CAPTCHA falso. Al hacer clic en el botón “No soy un robot”, se copia un comando de shell al portapapeles. Luego, el sitio te indica que presiones ALT+F2, lo cual abre un cuadro de ejecución rápida en Linux. Ahí, te piden que pegues el comando y presiones Enter. Y listo: el malware ya está dentro.
Podría interesarte leer: Cuidado con ClickFix: Malware en Correos Falsos de Booking.com
El comando que se ejecuta en Linux descarga un archivo llamado mapeal.sh en el equipo de la víctima. Pero, según los investigadores este script en su versión actual no hace nada malicioso todavía. Por ahora, simplemente se limita a bajar una imagen JPEG desde el servidor del atacante. “El script descarga una imagen JPEG del mismo directorio en trade4wealth[.]in y la abre en segundo plano”, explican desde Hunt.io. “No vimos que hiciera nada más: nada de persistencia, ni movimiento lateral, ni conexiones salientes.”
Esto no significa que todo esté bajo control. Lo más probable es que el grupo APT36 esté probando qué tan efectiva es su cadena de ataque en Linux, y que esta sea solo una versión de prueba. En cualquier momento podrían reemplazar esa imagen por un script real que instale malware, espíe al usuario o cause daños más serios.
Lo preocupante es que esta variante de ClickFix ya ha sido adaptada para Windows, macOS y ahora Linux, lo que demuestra lo versátil y peligrosa que puede llegar a ser.
Como regla general, nunca copies y pegues comandos en el cuadro de Ejecutar (ni en la terminal) sin estar absolutamente seguro de lo que hacen. Esa simple acción puede ser suficiente para comprometer tu sistema y exponer tus datos personales o profesionales.