Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Nueva Campaña EVALUSION: Robo de Datos y Control Remoto Vía ClickFix

Escrito por Scarlet Mendoza | Nov 18, 2025 5:24:58 PM

En los últimos meses se ha detectado una campaña de malware especialmente peligrosa que te involucra directamente en el ataque: EVALUSION, una operación que combina ingeniería social con herramientas de robo de información y control remoto. Desde TecnetOne te contamos cómo funciona, por qué está creciendo tan rápido y qué puedes hacer para protegerte.

Esta campaña fue analizada por investigadores de eSentire, quienes confirmaron que se trata de una evolución del conocido enfoque ClickFix, una técnica de engaño donde los atacantes te convencen de ejecutar comandos maliciosos desde la ventana Ejecutar de Windows creyendo que estás pasando un reCAPTCHA o un “control de seguridad”.

Sí: el propio usuario, sin saberlo, se convierte en el instalador del malware.

Y como imaginarás, eso deja las puertas de tu equipo completamente abiertas.

 

¿Qué es ClickFix y por qué está siendo tan efectivo?

 

Para entender EVALUSION, primero tienes que conocer ClickFix, un método que está creciendo porque evita muchos sistemas de seguridad. Los atacantes te muestran una página falsa que dice algo como:

“Para verificar que eres humano, copia y pega este código en Windows + R”.

Cuando tú haces eso, estás ejecutando un comando malicioso que activa procesos internos de Windows, como mshta.exe o PowerShell, sin que tú lo notes.

Este método se salta muchos antivirus y herramientas corporativas, porque técnicamente eres tú quien “autoriza” la ejecución.

Y este es el corazón de EVALUSION.

 

Lee más: Malware Remcos: Análisis y Cómo Protegerte

 

Qué trae EVALUSION: Amatera Stealer + NetSupport RAT

 

La campaña EVALUSION instala dos herramientas principales:

 

Amatera Stealer

 

Es un ladrón de información de nueva generación (sucesor de AcridRain). Desde su aparición en junio de 2025 se ha convertido en uno de los productos de malware-as-a-service más vendidos. Incluso tiene planes de suscripción que van desde 199 USD al mes hasta 1,499 USD al año.

 

Algunas de sus capacidades más peligrosas:

 

  1. Robo de contraseñas y sesiones de navegadores

 

  1. Acceso a wallets de criptomonedas

 

  1. Robo de credenciales de mensajería y correo

 

  1. Captura de datos de clientes FTP

 

  1. Exfiltración sigilosa y persistente

 

Lo más preocupante es que usa técnicas avanzadas como:

 

  1. WoW64 SysCalls, para saltarse los hooks de antivirus y EDR

 

  1. Carga de DLLs empaquetadas con PureCrypter

 

  1. Inyección del malware dentro de MSBuild.exe, un proceso legítimo de Windows

 

Es decir, se esconde donde no lo ves.

 

NetSupport RAT

 

Si Amatera roba tus datos, NetSupport RAT va más allá: permite que los atacantes tomen el control remoto de tu equipo.

NetSupport es una herramienta legítima para asistencia remota, pero en manos de ciberdelincuentes se convierte en una RAT (Remote Access Trojan) extremadamente peligrosa.

 

Una campaña inteligente: solo te atacan si “vales la pena”

 

Una de las cosas más llamativas del análisis de eSentire es que Amatera solo instala NetSupport RAT si detecta que tu equipo tiene valor para los atacantes.

Es decir:

 

  1. Si no estás en un dominio corporativo

 

  1. Si no tienes archivos financieros o sensibles

 

  1. Si tu perfil no parece empresarial

 

El malware simplemente no descarga la RAT.

Esto les permite:

 

  1. Reducir ruido

 

  1. Evitar detección

 

  1. Concentrar recursos en víctimas que puedan generar ganancias

 

Es una operación quirúrgica, pensada para maximizar el beneficio y minimizar el riesgo.

 

Cómo funciona el ataque paso a paso

 

La cadena de ataque es clara y muy bien pensada:

 

  1. Tú entras a una web con una verificación falsa tipo CAPTCHA o Cloudflare Turnstile.

 

  1. Te piden abrir Windows + R y pegar un comando.

 

  1. Ese comando activa mshta.exe, que descarga un script malicioso en PowerShell.

 

  1. El script baja un archivo desde plataformas legítimas como MediaFire (sí, los atacantes usan servicios comunes para evadir detecciones).

 

  1. Se instala Amatera Stealer.

 

  1. Si tu equipo es de “alto valor”, también se instala NetSupport RAT.

 

Al final, los atacantes obtienen:

 

  1. Tus contraseñas

 

  1. Tus sesiones activas

 

  1. Tu información personal y laboral

 

  1. Tu historial de navegación

 

  1. Y si lo necesitan, control total de tu computadora

 

Todo porque copiaste y pegaste una línea pensando que era un reCAPTCHA.

 

Cadena de ataque que conduce a Amatera y NetSupport RAT (Fuente: BlackHat)

 

La familia de campañas relacionadas: ClickFix está explotando

 

EVALUSION no es un caso aislado. En los últimos meses han surgido campañas similares distribuyendo malware variado a través de ClickFix:

 

XWorm mediante archivos VBS disfrazados de facturas

 

Los atacantes envían correos con supuestas facturas.

Al abrirlas, PowerShell descarga XWorm.

 

SmartApeSG, HANEYMANEY y ZPHP

 

Sitios web comprometidos inyectan JavaScript que redirige a páginas falsas con “verificación Cloudflare”, instalando NetSupport RAT.

 

Falsos CAPTCHA de Booking.com

 

Dirigidos especialmente al sector hotelero, para robar credenciales y acceder a sistemas de reservas.

 

Notificaciones falsas de correo bloqueado

 

Un clásico:

“Tu mensaje no pudo enviarse, haz clic para revisarlo”.

Te lleva a un sitio donde te roban tus datos corporativos.

ClickFix se ha convertido en el nuevo estándar del engaño digital.

 

También podría interesarte: Malware Dropper: La Amenaza Silenciosa en Ciberseguridad

 

Cómo protegerte (y cómo puede ayudarte TecnetOne)

 

En TecnetOne siempre recalcamos lo mismo: la ingeniería social es tan peligrosa porque se aprovecha de ti, no de una falla técnica. Por eso, tu protección depende de cambios de hábitos, no solo de herramientas.

 

Recomendaciones clave para evitar caer en ClickFix

 

  1. Nunca pegues comandos en Windows + R por indicación de una página web.

 

  1. Desconfía de cualquier CAPTCHA que no sea el estándar que ya conoces.

 

  1. Si una página te pide ejecutar comandos o scripts, sal de inmediato.

 

  1. No abras “solicitudes de factura”, “mensajes bloqueados” o “verificaciones de Cloudflare” sin comprobar la fuente.

 

  1. Usa EDR con detección de comportamiento, no solo antivirus básico.

 

  1. Activa políticas de restricción para mshta.exe, PowerShell y scripts no firmados.

 

Para empresas

 

En TecnetOne te recomendamos implementar:

 

  1. Filtrado web avanzado

 

  1. Monitorización de endpoints

 

  1. Bloqueo de binarios LOLBins como mshta.exe

 

  1. Control de descargas desde servicios públicos (MediaFire, Dropbox, etc.)

 

  1. Concientización continua para tu equipo

 

En resumen

 

La campaña EVALUSION es un ejemplo perfecto del malware moderno:

 

  1. No necesita vulnerabilidades técnicas.

 

  1. Te hace ejecutar el ataque con tus propias manos.

 

  1. Usa ingeniería social avanzada.

 

  1. Selecciona solo víctimas de alto valor.

 

  1. Combina robo de credenciales con control remoto.

 

La mejor defensa no es solo la tecnología, sino tu capacidad de identificar un engaño a tiempo.

Si quieres que en TecnetOne revisemos tus políticas de seguridad, tus controles actuales o hagamos una capacitación para tu equipo, aquí estamos para ayudarte.

 
Ver post completo