Los ciberdelincuentes no dejan de innovar en sus engaños, y ahora están usando una técnica llamada ClickFix para hacer que las víctimas ejecuten comandos maliciosos sin darse cuenta. Este ataque, que ha ido evolucionando desde el año pasado, se basa en ingeniería social y phishing para convencer a los usuarios de que hay un problema en su sistema y que necesitan "arreglarlo" manualmente.
El truco es simple pero efectivo: los atacantes crean sitios web o correos de phishing que muestran falsos mensajes de error y les piden a las víctimas que hagan clic en un botón para solucionarlo. Cuando lo hacen, un comando de PowerShell malicioso se copia automáticamente en el portapapeles de Windows, y luego se les indica que lo peguen en la terminal para "corregir" el problema. En realidad, este comando descarga y ejecuta el malware Havoc C2, dándole a los atacantes acceso remoto completo al dispositivo infectado.
Para hacerlo aún más peligroso, los atacantes están usando Microsoft SharePoint como parte de su estrategia de distribución, lo que les permite infiltrarse en entornos empresariales sin levantar sospechas. Dado que SharePoint es una herramienta clave para la colaboración y el intercambio de archivos en muchas organizaciones, esta amenaza puede propagarse rápidamente si no se detecta a tiempo.
¿Cómo funciona exactamente este ataque? ¿Por qué Havoc C2 es tan difícil de detectar? Y, lo más importante, ¿cómo puedes protegerte? En este artículo, te explicamos todo lo que necesitas saber para mantener tu información segura.
ClickFix ahora usa servicios en la nube de Microsoft para engañar a las víctimas
Los ciberdelincuentes detrás de ClickFix han encontrado una nueva manera de engañar a los usuarios, y esta vez están abusando de los servicios en la nube de Microsoft. Según un informe de Fortiguard Labs de Fortinet, los atacantes están enviando correos electrónicos de phishing que alertan a las víctimas sobre un supuesto "aviso restringido" que deben revisar. Para hacerlo, les piden que abran un archivo adjunto en formato HTML llamado "Documents.html".
Si el usuario cae en la trampa y abre el archivo, se encuentra con un falso mensaje de error (código 0x8004de86) que dice que OneDrive no pudo conectarse al servicio en la nube. Luego, el mensaje sugiere que la víctima debe "solucionar" el problema actualizando manualmente el caché DNS.
Lo que parece una simple instrucción técnica en realidad es un truco bien diseñado para hacer que el usuario ejecute comandos peligrosos en su propio sistema, dándole a los atacantes el acceso que necesitan para comprometer el dispositivo.
Archivo adjunto de phishing de ClickFix
Si haces clic en el botón "Cómo solucionarlo", el truco ya está en marcha. Automáticamente, un comando de PowerShell malicioso se copia en tu portapapeles, y enseguida aparece un mensaje con instrucciones sobre cómo ejecutarlo. Básicamente, los atacantes te están guiando paso a paso para que tú mismo infectes tu dispositivo sin darte cuenta.
Archivo adjunto de phishing que muestra instrucciones para solucionarlo
Ese comando de PowerShell no es cualquier cosa. Una vez que lo ejecutas, intenta lanzar otro script malicioso que está escondido en un servidor de SharePoint controlado por los atacantes. En pocas palabras, estás abriendo la puerta para que el malware se instale sin que lo notes.
Comando malicioso de PowerShell que se compartió como solución
Podría interesarte leer: Seguridad Avanzada en Microsoft 365 con TecnetProtect
¿Cómo ClickFix usa SharePoint y Microsoft Graph para pasar desapercibido?
Los atacantes detrás de ClickFix han refinado su técnica para hacerla aún más efectiva y difícil de detectar. Primero, el script malicioso verifica si el dispositivo está en un entorno de prueba contando la cantidad de equipos en el dominio de Windows. Si sospecha que está en una máquina de análisis o en un entorno controlado, simplemente se detiene para evitar ser descubierto.
Si el sistema parece legítimo, el script modifica el Registro de Windows para marcar el dispositivo como infectado. Luego, revisa si Python está instalado y, si no lo está, lo descarga y lo configura automáticamente. Esto es clave porque el siguiente paso del ataque depende de un script de Python alojado en un servidor de SharePoint controlado por los atacantes.
Este script de Python es el que realmente pone en marcha el plan: descarga y ejecuta Havoc C2, un marco de post-explotación similar a Cobalt Strike, diseñado para darle a los atacantes control total del dispositivo infectado. Una vez dentro, pueden moverse por la red de la empresa, robar información y lanzar otros ataques.
Lo más preocupante es cómo evaden la detección. En lugar de usar servidores sospechosos, los atacantes ocultan su actividad en los servicios legítimos de Microsoft Graph API, integrando su tráfico malicioso con el de SharePoint. Básicamente, están usando una cuenta de SharePoint como su propio sistema de comando y control, lo que hace que el ataque pase desapercibido para muchas soluciones de seguridad.
Los ataques de ClickFix están ganando popularidad rápidamente porque pueden ser utilizados para desplegar todo tipo de malware, desde infostealers y troyanos de acceso remoto hasta amenazas más avanzadas como DarkGate. Y no solo se limitan a SharePoint: los ciberdelincuentes también están probando esta técnica en redes sociales como Telegram, donde han usado servicios falsos de verificación de identidad, como "Safeguard", para engañar a los usuarios y hacer que ejecuten comandos de PowerShell que instalan malware.
En pocas palabras, ClickFix no es solo otro ataque de phishing: es una táctica bien pensada que usa ingeniería social, servicios en la nube y herramientas legítimas para colarse en sistemas empresariales sin levantar sospechas.
Para evitar ser víctima de esta amenaza, las empresas deben reforzar la seguridad de sus sistemas, educar a sus trabajadores y adoptar herramientas de detección avanzadas. La ciberseguridad es una inversión clave en la protección de la información y la continuidad del negocio.
¿Tu empresa está preparada para enfrentar amenazas como ClickFix? Contáctanos y fortalece la seguridad de tu empresa antes de que sea demasiado tarde.
