ClickFix industrializado: 3.000 payloads en vivo, ofuscación única por víctima y ejecución en memoria

La técnica de ingeniería social ClickFix —esas falsas páginas de "verificación" que convencen al usuario de pegar y ejecutar un comando— ha dejado de ser artesanal. El investigador Bert-Jan Pals ha analizado alrededor de 3.000 payloads activos y describe una operación con infraestructura de nivel de servicio (API) y evasión avanzada.

El problema

El flujo clásico de ClickFix presenta un falso CAPTCHA o mensaje de error que instruye a la víctima a pulsar Win+R (Ejecutar) o Win+X, pegar un comando —que ya está en el portapapeles gracias a JavaScript malicioso— y ejecutarlo. Como es el propio usuario quien lanza el comando, se saltan muchos controles.

Lo novedoso de esta campaña es la industrialización:

  • Entrega vía API: cada visitante recibe un payload recién ofuscado, mezclando Base64, AES, TripleDES, Rijndael y Deflate, de modo que no hay dos muestras idénticas y las firmas estáticas fallan.
  • Ejecución en memoria: el PowerShell se ejecuta en un runspace en memoria, sin tocar disco.
  • Nuevas variantes de evasión: uso de Windows Terminal (que no deja rastro en RunMRU, borrando la evidencia forense típica de Win+R) y un bypass de AMSI basado en la carpeta de Descargas.
  • Infraestructura observada: comicstar[.]lat, babybon[.]cfd, merkantalolol[.]asia, con soporte para 25 idiomas para maximizar el alcance.

Recomendaciones inmediatas

  • Educa a los usuarios: ninguna web legítima pide abrir Ejecutar (Win+R) y pegar un comando para "verificar que eres humano".
  • Considera deshabilitar el cuadro Ejecutar (Win+R) por GPO en equipos de usuario que no lo necesiten.
  • Monitoriza la ejecución de PowerShell con argumentos codificados (-enc, -EncodedCommand) y la cadena "navegador → powershell/terminal".
  • Vigila la clave RunMRU y correlaciona su ausencia con lanzamientos de Windows Terminal sospechosos.

¿Estás cubierto en DefensOps?

ClickFix depende de la ejecución en el endpoint, justo donde DefensOps tiene visibilidad:

  • T1204 – Ejecución por el usuario: se detecta la cadena "navegador → intérprete de comandos" y los lanzamientos desde Win+R/Win+X/Windows Terminal. Disponible desde Essential.
  • T1059.001 – PowerShell: reglas nativas para PowerShell ofuscado/codificado y ejecución en runspace en memoria, aunque el payload sea único por víctima.
  • T1027 – Ofuscación y T1562.001 – Bypass de AMSI: el motor de correlación eleva el incidente cuando concurren ofuscación multicapa y manipulación de AMSI.

La ofuscación única por víctima derrota firmas estáticas, pero no el comportamiento: DefensOps detecta la acción, no el hash.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes: The Hacker News