Recientemente se han detectado nuevas variantes del ataque ClickFix donde los ciberdelincuentes muestran una animación falsa de Windows Update en pantalla completa dentro del navegador. A simple vista parece una actualización real, pero detrás ocultan código malicioso camuflado dentro de imágenes.
En esencia, ClickFix es un ataque de ingeniería social: el usuario es engañado para copiar y ejecutar comandos en el Símbolo del sistema de Windows, lo que desencadena la instalación del malware sin que se dé cuenta.
Lo preocupante es que este método se ha vuelto muy popular entre los atacantes, desde principiantes hasta grupos avanzados. Su eficacia es tan alta que las tácticas evolucionan constantemente, creando señuelos cada vez más pulidos y convincentes para lograr que el usuario caiga en la trampa.
Algunas variantes de ClickFix utilizan un truco bastante convincente: mostrar una supuesta “actualización crítica de seguridad de Windows” en pantalla completa dentro del navegador. En otros casos, incluso se combina con el clásico señuelo de “verificación humana”, lo que hace que todo parezca completamente legítimo.
Esta pantalla falsa guía a la víctima paso a paso, indicándole que presione ciertas teclas en un orden específico. Lo que muchos no notan es que la página ya ha copiado comandos peligrosos al portapapeles mediante JavaScript. Al seguir las instrucciones, el usuario termina pegando y ejecutando esos comandos sin darse cuenta, dándole al atacante acceso directo para ejecutar malware en el sistema.
Pantalla falsa de actualización de seguridad de Windows (Fuente: BleepingComputer)
Las nuevas variantes de ClickFix están mostrando un comportamiento mucho más agresivo: ahora instalan ladrones de información como LummaC2 y Rhadamanthys, dos de los infostealers más usados en campañas recientes.
En algunos casos, los atacantes emplean la típica página de “verificación humana”; en otros, la trampa es una pantalla falsa de Windows Update. Aunque el truco visual cambia, el objetivo es el mismo: llevar al usuario a ejecutar por error el código que activa la infección.
Lo más llamativo es que el malware final no llega como un archivo ejecutable tradicional, sino escondido dentro de una imagen mediante esteganografía. En lugar de añadir datos sospechosos al archivo, el código malicioso se incrusta directamente en los propios píxeles del PNG, usando canales de color específicos para reconstruir y descifrar la carga útil en memoria.
El ataque arranca usando mshta, una herramienta legítima de Windows, para ejecutar JavaScript malicioso. Después, el proceso pasa por varias etapas que combinan PowerShell con un ensamblado .NET conocido como Stego Loader, encargado de extraer la carga maliciosa oculta dentro del PNG cifrado.
Este Stego Loader incluye, en sus recursos internos, un bloque cifrado con AES que en realidad corresponde al archivo PNG esteganográfico. Desde ahí, se reconstruye código shell usando C# personalizado.
A todo esto se suma una técnica de evasión llamada ctrampoline. Básicamente, la función inicial del programa empieza a llamar miles de funciones vacías (literalmente unas 10.000) para confundir el análisis y dificultar la detección por parte de herramientas de seguridad.
Cadena de llamada de ctrampoline (Fuente: Huntress)
Conoce más sobre: Sturnus: Nuevo Troyano Android que Espía WhatsApp, Telegram y Signal
El código shell que contiene las muestras del infostealer se extrae directamente de la imagen cifrada y luego se empaqueta con Donut, una herramienta muy utilizada para cargar en memoria archivos como VBScript, JScript, EXE, DLL o ensamblados .NET sin necesidad de guardarlos en disco.
Una vez descomprimido ese paquete, es posible recuperar el malware completo. En los casos analizados, las variantes identificadas correspondían a LummaC2 y Rhadamanthys, dos infostealers conocidos por su capacidad para robar credenciales, datos del navegador y otra información sensible.
A continuación te mostramos un diagrama que resume de forma visual cómo se lleva a cabo todo el ataque:
Descripción general del ataque (Fuente: Huntress)
La variante de Rhadamanthys que usaba la pantalla falsa de Windows Update empezó a aparecer a principios de octubre. Poco después, en noviembre, parte de la infraestructura del malware cayó tras la Operación Endgame, lo que hizo que la carga maliciosa dejara de distribuirse desde los dominios que imitaban a Windows Update, aunque esos sitios siguen activos.
Desde TecnetOne recordamos que evitar este tipo de ataques basados en ClickFix requiere aplicar medidas preventivas muy simples pero efectivas: deshabilitar la ventana “Ejecutar” de Windows en equipos donde no sea necesaria y monitorear procesos sospechosos, como explorer.exe lanzando mshta.exe o PowerShell de forma inesperada.
Además, si surge la necesidad de investigar un posible incidente, una de las primeras verificaciones útiles es revisar la clave de registro RunMRU, ya que allí se almacena el historial de comandos ejecutados desde el cuadro “Ejecutar”. Esto puede revelar si el usuario llegó a pegar o ejecutar comandos que hayan activado la infección.
El ataque ClickFix, disfrazado de una actualización de Windows, demuestra lo creativo que puede ser el cibercrimen para engañar a los usuarios. Si ves una “actualización” en el navegador que te pide ejecutar comandos o presionar teclas fuera del panel oficial de Windows Update, desconfía al instante y no sigas ninguna instrucción.
Desde TecnetOne recomendamos mantener una postura preventiva: capacitar a los usuarios, bloquear comandos no autorizados, filtrar contenido malicioso, monitorear procesos sospechosos y contar con copias de seguridad actualizadas. Y si crees que has sido víctima de un ataque como este, contáctanos: con nuestro servicio de respuesta a incidentes podemos ayudarte a contener, analizar y solucionar el problema para que vuelvas a operar con seguridad.