Microsoft ha revelado los detalles de una nueva versión de la táctica de ingeniería social ClickFix, en la que los atacantes engañan a usuarios desprevenidos para que ejecuten comandos que realizan una consulta al Sistema de Nombres de Dominio (DNS) con el fin de recuperar el payload de la siguiente etapa. Específicamente, el ataque utiliza el comando 'nslookup' (abreviatura de 'nameserver lookup') para ejecutar una consulta DNS personalizada a través del cuadro de diálogo Ejecutar de Windows.

ClickFix es una técnica cada vez más popular que tradicionalmente se distribuye mediante phishing, malvertising o esquemas de descarga no autorizada, a menudo redirigiendo a las víctimas a páginas de destino falsas que albergan verificación CAPTCHA falsa o instrucciones para resolver un problema inexistente en sus computadoras, ejecutando un comando ya sea a través del cuadro de diálogo Ejecutar de Windows o la aplicación Terminal de macOS.

El método de ataque se ha generalizado en los últimos dos años, ya que depende de que las víctimas infecten sus propias máquinas con malware, lo que permite a los actores de amenazas eludir los controles de seguridad. La efectividad de ClickFix ha sido tal que ha generado varias variantes, como FileFix, JackFix, ConsentFix, CrashFix y GlitchFix.

"En la última variante de ClickFix basada en DNS, el comando inicial se ejecuta a través de cmd.exe y realiza una consulta DNS contra un servidor DNS externo codificado, en lugar del resolvedor predeterminado del sistema", dijo el equipo de Microsoft Threat Intelligence en una serie de publicaciones en X. "La salida se filtra para extraer la respuesta DNS 'Name:', que se ejecuta como el payload de segunda etapa".

Microsoft indicó que esta nueva variación de ClickFix utiliza DNS como un "canal ligero de preparación o señalización", lo que permite al actor de amenazas acceder a la infraestructura bajo su control, así como establecer una nueva capa de validación antes de ejecutar el payload de segunda etapa. "El uso de DNS de esta manera reduce la dependencia de las solicitudes web tradicionales y puede ayudar a mezclar la actividad maliciosa con el tráfico de red normal", agregó el fabricante de Windows.

Posteriormente, el payload descargado inicia una cadena de ataque que conduce a la descarga de un archivo ZIP desde un servidor externo ('azwsappdev[.]com'), del cual se extrae y ejecuta un script malicioso de Python para realizar reconocimiento, ejecutar comandos de descubrimiento y soltar un script de Visual Basic (VBScript) responsable de lanzar ModeloRAT, un troyano de acceso remoto basado en Python que anteriormente se distribuía a través de CrashFix.

Para establecer persistencia, se crea un acceso directo de Windows (archivo LNK) que apunta al VBScript en la carpeta de Inicio de Windows, de modo que el malware se lance automáticamente cada vez que se inicia el sistema operativo.

La revelación se produce mientras Bitdefender advirtió sobre un aumento en la actividad de Lumma Stealer, impulsado por campañas falsas de CAPTCHA estilo ClickFix que implementan una versión AutoIt de CastleLoader, un cargador de malware asociado con un actor de amenazas llamado GrayBravo (anteriormente TAG-150). CastleLoader incorpora comprobaciones para determinar la presencia de software de virtualización y programas de seguridad específicos antes de descifrar y lanzar el malware ladrón en memoria. Además de ClickFix, los sitios web que anuncian software crackeado y películas pirateadas sirven como cebo para las cadenas de ataque basadas en CastleLoader, engañando a los usuarios para que descarguen instaladores falsos o ejecutables que se hacen pasar por archivos MP4.

Otras campañas de CastleLoader también han aprovechado sitios web que prometen descargas de software crackeado como punto de partida para distribuir un instalador NSIS falso que también ejecuta scripts VBA ofuscados antes de ejecutar el script AutoIt que carga Lumma Stealer. El cargador VBA está diseñado para ejecutar tareas programadas responsables de garantizar la persistencia.

"A pesar de los importantes esfuerzos de interrupción de la aplicación de la ley en 2025, las operaciones de Lumma Stealer continuaron, demostrando resiliencia al migrar rápidamente a nuevos proveedores de alojamiento y adaptar cargadores y técnicas de entrega alternativos", dijo la empresa de ciberseguridad rumana. "En el centro de muchas de estas campañas está CastleLoader, que desempeña un papel central para ayudar a que LummaStealer se propague a través de cadenas de entrega".

Curiosamente, uno de los dominios en la infraestructura de CastleLoader ('testdomain123123[.]shop') fue señalado como un servidor de comando y control (C2) de Lumma Stealer, lo que indica que los operadores de las dos familias de malware están trabajando juntos o comparten proveedores de servicios. La mayoría de las infecciones de Lumma Stealer se han registrado en India, seguidas de Francia, EE. UU., España, Alemania, Brasil, México, Rumania, Italia y Canadá.

"La efectividad de ClickFix radica en su abuso de la confianza procedimental en lugar de vulnerabilidades técnicas", dijo Bitdefender. "Las instrucciones se asemejan a pasos de solución de problemas o soluciones de verificación que los usuarios pueden haber encontrado anteriormente. Como resultado, las víctimas a menudo no reconocen que están ejecutando manualmente código arbitrario en su propio sistema".

CastleLoader no es el único cargador que se utiliza para distribuir Lumma Stealer. Se han observado campañas desde marzo de 2025 que aprovechan otro cargador llamado RenEngine Loader, con el malware propagado bajo la apariencia de trampas para juegos y software pirateado como el editor gráfico CorelDRAW. En estos ataques, el cargador da paso a un cargador secundario llamado Hijack Loader, que luego implementa Lumma Stealer.

Según datos de Kaspersky, los ataques de RenEngine Loader han afectado principalmente a usuarios en Rusia, Brasil, Turquía, España, Alemania, México, Argelia, Egipto, Italia y Francia desde marzo de 2025.

Estos desarrollos coinciden con la aparición de varias campañas que utilizan señuelos de ingeniería social, incluido ClickFix, para distribuir una variedad de ladrones de información y cargadores de malware.

  • Una campaña para macOS que ha utilizado tácticas de phishing y malvertising para distribuir Odyssey Stealer, un cambio de marca de Poseidon Stealer, que a su vez es una bifurcación de Atomic macOS Stealer (AMOS). El ladrón extrae credenciales y datos de 203 extensiones de billetera de navegador y 18 aplicaciones de billetera de escritorio para facilitar el robo de criptomonedas.
  • "Más allá del robo de credenciales, Odyssey opera como un troyano de acceso remoto completo", dijo Censys. "Un LaunchDaemon persistente consulta al C2 cada 60 segundos en busca de comandos, lo que permite la ejecución arbitraria de shell, la reinfección y un proxy SOCKS5 para tunelizar el tráfico a través de las máquinas víctimas".
  • Una cadena de ataque ClickFix dirigida a sistemas Windows que utiliza páginas de verificación CAPTCHA falsas en sitios web legítimos pero comprometidos para engañar a los usuarios y hacer que ejecuten comandos de PowerShell que implementan el ladrón de información StealC.
  • Una campaña de phishing por correo electrónico que utiliza un archivo SVG malicioso contenido dentro de un archivo ZIP protegido con contraseña para indicar a la víctima que ejecute un comando de PowerShell usando ClickFix, lo que finalmente resulta en la implementación de un ladrón de información .NET de código abierto llamado Stealerium.
  • Una campaña que explota la función de uso compartido público de servicios de inteligencia artificial generativa como Anthropic Claude para alojar instrucciones maliciosas de ClickFix sobre cómo realizar una variedad de tareas en macOS (por ejemplo, "resolvedor DNS en línea") y distribuir estos enlaces a través de resultados patrocinados en motores de búsqueda como Google para implementar Atomic Stealer y MacSync Stealer.
  • Una campaña que dirige a los usuarios que buscan "analizador de espacio en disco de macOS cli" a un artículo falso de Medium que se hace pasar por el equipo de soporte de Apple para engañarlos y hacer que ejecuten instrucciones de ClickFix que entregan payloads de ladrones de la siguiente etapa desde un servidor externo 'raxelpak[.]com'.
  • "El dominio C2 raxelpak[.]com tiene un historial de URL que se remonta a 2021, cuando parecía alojar un sitio de comercio electrónico de ropa de trabajo de seguridad", dijo Moonlock Lab de MacPaw. "No está claro si el dominio fue secuestrado o simplemente caducó y fue registrado nuevamente por el actor de amenazas, pero se ajusta al patrón más amplio de aprovechar dominios envejecidos con reputación existente para evitar la detección".
  • Una variación de la misma campaña que aloja instrucciones de ClickFix para supuestamente instalar Homebrew en enlaces asociados con Claude y Evernote y los distribuye a través de resultados patrocinados para instalar malware ladrón.
  • "El anuncio muestra un dominio real y reconocido (claude.ai), no un sitio con errores tipográficos o suplantado", dijo AdGuard. "Hacer clic en el anuncio lleva a una página real de Claude, no a una copia de phishing. La consecuencia es clara: Google Ads + una plataforma confiable y conocida + usuarios técnicos con alto impacto descendente = un potente vector de distribución de malware".
  • Una campaña de phishing por correo electrónico en macOS que incita a los destinatarios a descargar y ejecutar un archivo AppleScript para solucionar supuestos problemas de compatibilidad, lo que resulta en la implementación de otro AppleScript diseñado para robar credenciales y recuperar payloads adicionales de JavaScript.
  • "El malware no otorga permisos a sí mismo; en su lugar, forja autorizaciones TCC para binarios confiables firmados por Apple (Terminal, osascript, Script Editor y bash) y luego ejecuta acciones maliciosas a través de estos binarios para heredar sus permisos", dijo Darktrace.
  • Una campaña ClearFake que emplea señuelos CAPTCHA falsos en sitios WordPress comprometidos para desencadenar la ejecución de un archivo de aplicación HTML (HTA) e implementar Lumma Stealer. También se sabe que la campaña utiliza inyecciones de JavaScript malicioso para aprovechar una técnica conocida como EtherHiding para ejecutar un contrato alojado en BNB Smart Chain y obtener un payload desconocido alojado en GitHub.
  • EtherHiding ofrece varias ventajas a los atacantes. Permite que el tráfico malicioso se mezcle con la actividad legítima de Web3. Debido a que la cadena de bloques es inmutable y descentralizada, también ofrece una mayor resiliencia frente a los esfuerzos de desmantelamiento.

El uso de técnicas ClickFix para atacar macOS subraya una tendencia más amplia en la que los actores de amenazas buscan cada vez más máquinas que ejecutan el sistema operativo de Apple para infectarlas con ladrones de información y herramientas sofisticadas, según un análisis reciente publicado por Flare. Al menos 103 extensiones de Chrome para criptomonedas son atacadas por ladrones de macOS, y los atacantes obtienen firmas válidas de desarrollador de Apple para eludir las protecciones de Gatekeeper.

"Casi todos los ladrones de macOS priorizan el robo de criptomonedas por encima de todo", dijo la compañía. "Este enfoque láser refleja la realidad económica. Los usuarios de criptomonedas usan Mac de manera desproporcionada. A menudo tienen un valor significativo en billeteras de software. A diferencia de las cuentas bancarias, las transacciones de criptomonedas son irreversibles. Una vez que las frases semilla se ven comprometidas, los fondos desaparecen permanentemente sin recurso". "La suposición de que 'las Mac no tienen virus' no solo está desactualizada, sino que es activamente peligrosa. Las organizaciones con usuarios de Mac necesitan capacidades de detección para TTP específicas de macOS: aplicaciones sin firmar que solicitan contraseñas, actividad inusual de Terminal, conexiones a nodos de cadena de bloques con fines no financieros y patrones de exfiltración de datos dirigidos a Keychain y almacenamiento del navegador".
Cybersecurity
Cybersecurity
Cybersecurity
Cybersecurity