ClickFix: entrega de malware a través de API
Resumen rápido
Un investigador descubre cómo ClickFix utiliza servidores API para entregar malware de forma personalizada. Esto permite a los atacantes esconder su malware detrás de páginas falsas que piden a los usuarios que 'demuestren ser humanos'.
ClickFix industrializado: 3.000 payloads en vivo, ofuscación única por víctima y ejecución en memoria
La técnica de ingeniería social ClickFix —esas falsas páginas de "verificación" que convencen al usuario de pegar y ejecutar un comando— ha dejado de ser artesanal. El investigador Bert-Jan Pals ha analizado alrededor de 3.000 payloads activos y describe una operación con infraestructura de nivel de servicio (API) y evasión avanzada.
El problema
El flujo clásico de ClickFix presenta un falso CAPTCHA o mensaje de error que instruye a la víctima a pulsar Win+R (Ejecutar) o Win+X, pegar un comando —que ya está en el portapapeles gracias a JavaScript malicioso— y ejecutarlo. Como es el propio usuario quien lanza el comando, se saltan muchos controles.
Lo novedoso de esta campaña es la industrialización:
- Entrega vía API: cada visitante recibe un payload recién ofuscado, mezclando Base64, AES, TripleDES, Rijndael y Deflate, de modo que no hay dos muestras idénticas y las firmas estáticas fallan.
- Ejecución en memoria: el PowerShell se ejecuta en un runspace en memoria, sin tocar disco.
- Nuevas variantes de evasión: uso de Windows Terminal (que no deja rastro en
RunMRU, borrando la evidencia forense típica de Win+R) y un bypass de AMSI basado en la carpeta de Descargas. - Infraestructura observada:
comicstar[.]lat,babybon[.]cfd,merkantalolol[.]asia, con soporte para 25 idiomas para maximizar el alcance.
Recomendaciones inmediatas
- Educa a los usuarios: ninguna web legítima pide abrir Ejecutar (Win+R) y pegar un comando para "verificar que eres humano".
- Considera deshabilitar el cuadro Ejecutar (Win+R) por GPO en equipos de usuario que no lo necesiten.
- Monitoriza la ejecución de PowerShell con argumentos codificados (
-enc,-EncodedCommand) y la cadena "navegador → powershell/terminal". - Vigila la clave
RunMRUy correlaciona su ausencia con lanzamientos de Windows Terminal sospechosos.
¿Estás cubierto en DefensOps?
ClickFix depende de la ejecución en el endpoint, justo donde DefensOps tiene visibilidad:
- T1204 – Ejecución por el usuario: se detecta la cadena "navegador → intérprete de comandos" y los lanzamientos desde Win+R/Win+X/Windows Terminal. Disponible desde Essential.
- T1059.001 – PowerShell: reglas nativas para PowerShell ofuscado/codificado y ejecución en runspace en memoria, aunque el payload sea único por víctima.
- T1027 – Ofuscación y T1562.001 – Bypass de AMSI: el motor de correlación eleva el incidente cuando concurren ofuscación multicapa y manipulación de AMSI.
La ofuscación única por víctima derrota firmas estáticas, pero no el comportamiento: DefensOps detecta la acción, no el hash.
👉 Consulta los planes de DefensOps y solicita una demo
Fuentes: The Hacker News
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
Técnicas MITRE ATT&CK: T1204, T1059.001, T1027, T1562.001
- Ejecución de comando pegado desde el portapapeles (Win+R / Win+X) · T1204 · plan Essential
- PowerShell ofuscado en memoria y bypass de AMSI · T1059.001 · plan Essential
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.